70 412 Windows Server 2012 R2 Configuracion de Servicios Avanzados PDF

Windows Server 2012 R2 - Configuración de servicios
avanzados
Preparación para la certificación MCSA - Examen 70-412
Prólogo Acerca de este libro
A. Prólogo 16
1. Acerca del libro 16
B. Condiciones requeridas 17
1. Nivel/conocimientos 17
2. Certificaciones anteriores 17
3. Equipo necesario para los trabajos prácticos 17
C. El plan de estudios de la certificación de Microsoft 18

1. Detalles del plan de estudios MCSA 19
2. Detalles del plan de estudios MCSE 19
Capítulo 1 Presentación de Windows Server 2012 R2
A. Windows Server 2012 R2 22
B. Nueva interfaz gráfica 23
1. Menú Inicio 24
2. Panel de control 25
3. Los programas 26
4. Los métodos abreviados de teclado 27
C. Despliegue de Windows Server 2012 R2 28

1. Instalación completa 28
2. Instalación mínima (Servidor Core) 29
D. El direccionamiento IP 31
1. Direccionamiento IP dinámico 31
2. Direccionamiento IP estático 31
www.ediciones-eni.com © Ediciones ENI 1/15

avanzados
E. Los protocolos de red 31

1. Modelo TCP/IP 31
2. Protocolo IP 32
a. Direccionamiento IPv4 32
b. Direccionamiento IPv6 32
F. La administración de Windows Server 2012 R2 33

1. La consola Administración de equipos 33
2. La consola Administrador del servidor 35
3. Las herramientas administrativas 35
G. Trabajos prácticos 36
H. Resumen del capítulo 62
I. Validación de conocimientos: preguntas/respuestas 63
Capítulo 2 Los servicios de dominio Active Directory
A. Presentación de Active Directory 68
1. Servicio de directorio 68
2. Gestión del servicio de directorio 69
a. Administrar Active Directory 70
b. Particiones Active Directory 74
3. Gestión de identidades y de acceso 75
4. Administración de unidades organizativas 76
a. Agregar una UO empleando la interfaz gráfica 77
b. Agregar una UO empleando comandos DOS 81
c. Agregar una UO con PowerShell 81
5. Directivas de grupo 82
a. Administración de las directivas de grupo 82
b. Solución de problemas de directivas de grupo 84

avanzados
c. Novedad de las directivas de grupo 86
B. Bosques y dominios Active Directory 89

1. Bosques 89
2. Dominios 90
3. Árboles de dominio 90
C. Niveles funcionales 91
1. Niveles funcionales de bosque 91
2. Niveles funcionales de dominio 92
3. Elevar el nivel funcional 93
D. Controladores de dominio 94
1. Roles FSMO 95
2. Catálogo global 98
E. Administración de cuentas de usuario 101
1. Administración de cuentas de usuario 102

2. Creación de cuentas de usuario 102
a. Por línea de comandos DOS 102
b. Por línea de comandos PowerShell 103
F. Administración de grupos de seguridad 104

1. Grupos globales 105
2. Grupos de dominio local 106
3. Grupos universales 106
G. Trabajos prácticos 107
H. Resumen del capítulo 119
I. Validación de conocimientos: preguntas/respuestas 120

avanzados
Capítulo 3 Los servicios avanzados de red
A. Servicio DNS 124
1. Presentación del servicio DNS 125

2. Funcionamiento del servicio DNS 126
a. Herramientas por línea de comandos DOS 127
b. Principio de resolución de nombres DNS 128
3. Administración del servicio DNS 129
a. Implementación de los registros detallados 131
b. Registros DNS 133
c. Limpieza de registros DNS 137
d. Reenviadores del servicio DNS 140
e. Copia de seguridad de la configuración DNS 142
4. Zonas DNS 143
a. Zona principal 144
b. Zona secundaria 144
c. Zona de búsqueda inversa 144
d. Zona de rutas internas 145
e. Zona GlobalNames 145
5. DNS y Active Directory 152
6. Seguridad del servicio DNS 153
a. Securizar la caché DNS 153
b. Configurar el grupo de sockets DNS 154
c. Implementar DNSSEC 156
7. Administración del servicio DNS mediante Windows PowerShell 158
B. Servicio DHCP 159
1. Presentación del servicio DHCP 159

2. Administración del servidor DHCP 160
3. Funcionamiento del servicio DHCP 161
a. Principio de asignación de una dirección IP IPv4 162
b. Principio de asignación de una dirección IP en IPv6 163
4. Opciones de configuración del servicio DHCP 164
5. Administración del servicio DHCP mediante Windows PowerShell 168
6. Alta disponibilidad del servicio DHCP 169

avanzados
7. Copia de seguridad y restauración del servicio DHCP 170

a. Copia de seguridad automática 170
b. Copia de seguridad manual 171
c. Restauración 171
C. IPAM 172
1. Presentación del servidor IPAM 172
2. Administración del servidor IPAM 173
3. Instalar y configurar la gestión de direcciones IPAM 175
4. Administración del espacio de direcciones IP 182
a. Intervalos de direcciones IP 182
b. Direcciones IP 184
c. Bloques de direcciones IP 185
5. Supervisar y administrar IPAM 186
a. Servidores DNS y DHCP 186
b. Ámbitos DHCP 187
c. Supervisión de zonas DNS 187
d. Grupos de servidores 188
6. Catálogo de eventos 188
D. Trabajos prácticos 189
E. Resumen del capítulo 247
F. Validación de conocimientos: preguntas/respuestas 247
Capítulo 4 Los servicios de archivos avanzados
A. Presentación de los servicios de archivos 252
1. Funcionamiento de los servicios de archivos 252

2. Administración de los servidores de archivos 253
a. Administrar los servicios de archivos 254
b. Roles y servicios de almacenamiento 259

avanzados
B. Almacenamiento en red 260

1. Almacenamiento SAN iSCSI 260
a. Funcionamiento del almacenamiento iSCSI 261
b. Gestión del almacenamiento iSCSI 263
2. Almacenamiento SAN FCoE 264
3. Almacenamiento NFS 265
4. Almacenamiento DAS 265
5. Almacenamiento NAS 265
C. Optimizar el uso del almacenamiento 265

1. Administrador del recursos 265
a. Funcionamiento FSRM 265
b. Administración FSRM 267
2. Administración de cuotas 267
a. Creación de una cuota 268
b. Creación de una plantilla de cuota 273
3. Administración del filtrado de archivos 275
a. Creación de un filtro de archivos 276
b. Creación de una plantilla de filtro 278
4. Administración de la clasificación 281
a. Creación de una propiedad de clasificación 282
b. Creación de una regla de clasificación 283
5. Administración de informes de almacenamiento 286
6. Desduplicación de datos 287
a. Instalar la desduplicación de datos 288
b. Activar la desduplicación de datos 289
c. Verificar la desduplicación 291
D. BranchCache 291
1. Presentación de BranchCache 291

a. Funcionamiento de BranchCache 292
b. Administración de BranchCache 293
2. Modo de caché 295
a. Modo de caché hospedada 295

avanzados
b. Modo de caché distribuida 296

3. Implementar BranchCache 297
E. Trabajos prácticos 298
F. Resumen del capítulo 324
G. Validación de conocimientos: preguntas/respuestas 325
Capítulo 5 Control de acceso dinámico
A. Control de acceso dinámico 330

1. Presentación de DAC 330
2. Funcionamiento de DAC 330
a. Notificaciones 332
b. Directiva de acceso central 332
c. Regla de acceso central 333
3. Gestión del DAC 333
4. Implementación del DAC 335
B. Trabajos prácticos 335
C. Resumen del capítulo 360
D. Validación de conocimientos: preguntas/respuestas 360
Capítulo 6 Despliegue distribuido AD DS
A. Presentación del despliegue distribuido AD DS 362

1. Administración de bosques Active Directory 362
a. Gestión administrativa 362

avanzados
b. Particiones 363
2. Administración de dominios Active Directory 363
a. Gestión administrativa 363
b. Particiones 363
3. Despliegue distribuido AD DS 363
a. Dominios o bosques múltiples 364
b. Actualización a Windows Server 2012 R2 365
c. Migración a Windows Server 2012 R2 366
d. Relaciones de confianza 367
e. Enrutamiento de sufijo de nombre 371
Capítulo 7 Sitios y servicios Active Directory
A. Presentación de los sitios Active Directory 388
1. Objetivo de los sitios 388

a. Administración de los sitios 389
b. Ubicación de los servicios 390
2. Los sitios 390
3. Las subredes 391
4. Los servidores de catálogo global 391
5. Las particiones Active Directory 392
6. Los vínculos de sitios 393
a. Funcionamiento de los vínculos de sitios 393
b. Administración de los vínculos de sitios 394
7. Los puentes de sitio 396

avanzados
Capítulo 8 Replicación de Active Directory
A. Presentación de la replicación de Active Directory 408

1. Replicación de Active Directory 408
a. Programación de la replicación 409
b. Topología de replicación 410
c. Objetos de conexión 412
d. Replicación a los RODC 416
e. Replicación de contraseñas (RODC) 417
f. Los conflictos de replicación 419
2. Replicación SYSVOL 420
a. Presentación de la carpeta SYSVOL 420
b. Replicación de la carpeta SYSVOL 422
3. Supervisar y resolver problemas 423
Capítulo 9 Servicios de certificados AD CS
A. Infraestructura de claves públicas 444
1. Presentación de PKI 444

2. Componentes de una PKI 445
3. Cifrado 447

avanzados
B. Presentación de AD CS 447
1. Servicios de certificados AD CS 447
a. CA independiente 448
b. CA empresarial 448
c. Administración de AD CS 448
2. Jerarquía de CA 450
a. Infraestructura de dos capas 450
b. Infraestructura de tres capas 451
c. CA raíz 453
d. CA intermedia 454
e. CA emisora 454
3. Servicios de roles AD CS 454
a. Entidad de certificación 454
b. Solicitud de certificados a través de la Web 455
c. Respondedor en línea 455
d. Inscripción de dispositivos de red 455
e. Inscripción de certificados 455
f. Directiva de certificados 456
4. Certificados 456
a. Plantillas de certificado 457
b. Solicitud de certificado 459
C. Trabajos prácticos 459
D. Resumen del capítulo 490
E. Validación de conocimientos: preguntas/respuestas 491
Capítulo 10 Servicios de gestión de derechos
A. Servicios de gestión de derechos 496
1. Presentación de AD RMS 496

avanzados
a. Funcionamiento de AD RMS 497

b. Administración de AD RMS 498
c. Componentes de AD RMS 504
2. Instalar y configurar AD RMS 504
a. Realizar el esquema de la infraestructura 504
b. Requisitos previos de instalación 505
3. Proteger el contenido de los archivos 505
Capítulo 11 Servicios de federación AD FS
A. Servicios de federación 538

1. Presentación de AD FS 539
a. Funcionamiento de AD FS 539
b. Administración de AD FS 540
2. Notificaciones 541
3. Infraestructura AD FS 542
a. Infraestructura 542
b. Componentes 543
4. Instalar y configurar AD FS

avanzados
Capítulo 12 El reparto de carga
A. El reparto de carga 558
1. Presentación del reparto de carga 558

a. Tecnologías existentes 559
b. Ventajas e inconvenientes 559
B. El reparto de carga de red 561
1. Network Load Balancing 561

2. Diferentes modos de equilibrio de carga 562
a. Prioritario 562
b. Modo igual 563
c. Modo manual 563
3. Modos de transmisión 564
a. Unicast - Monodifusión 564
b. Multicast - Multidifusión 565
c. Multidifusión IGMP 565
4. Afinidad del equilibrio de carga 565
5. Convergencia y alta disponibilidad 566
Capítulo 13 Clústers y alta disponibilidad
A. Alta disponibilidad 592
1. Presentación de la alta disponibilidad 592

2. Soluciones de alta disponibilidad 593

avanzados
B. Clúster de conmutación por error 593

1. Presentación de los clústers 593
2. Funcionamiento de un clúster 593
a. Redes 594
b. Conmutación 595
c. Volúmenes compartidos 596
d. Consola de administración del clúster 598
e. Administración de un clúster de conmutación por error 599
f. Quórum 603
g. Instalar y configurar un clúster 604
h. Los roles 606
i. Optimización de los CSV 607
Capítulo 14 Clúster de conmutación por error Hyper-V
A. Virtualización con Hyper-V 622
1. Presentación de Hyper-V 622

a. Instalación del rol Hyper-V 624
b. Administración de Hyper-V 625
c. Administración de Hyper-V a través de SCVMM 626
B. Alta disponibilidad con Hyper-V 626

1. Replicación 626
2. Clúster de conmutación por error 626
3. Migración de las máquinas virtuales 627

avanzados
Capítulo 15 Copia de seguridad y restauración
A. Presentación de la recuperación de desastres 646
1. Recuperación de desastres 646

2. Presentación de la copia de seguridad 648
3. Copias de seguridad de Windows Server 649
a. Gestión de la copia de seguridad de Windows Server 651
b. Programar la copia de seguridad de Windows 652
c. Configurar la copia de seguridad de Windows 653
d. Configurar la restauración de datos 655
B. Recuperación de datos 656
1. Instantáneas 656
2. Papelera de reciclaje de Active Directory 660

avanzados
Tabla de objetivos 689
índice 691

Windows Server 2012 R2
MCSA 70-412 - Configuración de servicios avanzados
El examen 70-412 "Configuración de servicios avanzados de Windows Server 2012 R2" es el

último de los tres exámenes obligatorios para la obtención de la certificación MCSA Windows
Server 2012 R2.
Para ayudarle en una preparación eficaz del examen, este libro cubre todos los objetivos
oficiales, tanto desde un punto de vista teórico como práctico. Ha sido redactado por un
consultor , certificado por Microsoft. De esta forma, su saber hacer pedagógico y técnico
conducen a un enfoque claro y visual, de un alto nivel técnico.
Capítulo tras capítulo podrá validar sus conocimientos teóricos, empleando un gran número
de preguntas-respuestas (150 en total) haciendo hincapié tanto en los elementos
fundamentales como las características específicas de los conceptos cubiertos.
Cada capítulo termina por unos trabajos prácticos (75 en total) que proporcionarán los medios
para medir su autonomía. Estas operaciones en concreto, le permitirán forjar una primera
experiencia significativa y adquirir verdaderas competencias técnicas acerca de un conjunto de
situaciones reales, más allá de los objetivos fijados para el examen.
A este dominio del producto y sus conceptos, se añade la preparación específica para la
certificación: podrá acceder de forma gratuita a 1 examen en línea, destinado a entrenarle en
condiciones cercanas a las de la prueba. En este sitio, cada pregunta está planteada dentro del
espíritu de la certificación y, para cada una, se encuentran respuestas suficientemente
comentadas para cubrir o identificar sus lagunas.
Los capítulos del libro:

Descripción - Acerca de este libro - Presentación de Windows Server 2012 R2 - Los servicios de
dominio Active Directory - Los servicios avanzados de red - Los servicios de archivos avanzados -
Control de acceso dinámico - Despliegue distribuido AD DS - Sitios y servicios Active Directory -
Replicación de Active Directory - Servicios de certificados AD CS - Servicios de gestión de derechos
- Servicios de federación AD FS - El reparto de carga - Clústers y alta disponibilidad - Clúster de
conmutación por error Hyper-V - Copia de seguridad y restauración - Tabla de objetivos
Armelin ASIMANE
Armelin ASIMANE es Ingeniero de sistemas, especializado en las tecnologías Microsoft y Citrix
desde hace años. Después de haber obtenido varias certificaciones en estos dos dominios, creó
en 2012 un blog informático (infonovice.fr) para compartir su conocimiento, experiencia y su
pasión por el universo de las nuevas tecnologías.
Introducción
El examen 70-412 "Configuración de servicios avanzados de Windows Server 2012 R2" es el
último de los tres exámenes obligatorios para la obtención de la certificación MCSA Windows Server
2012 R2.
Para asistirle en una preparación eficaz del examen, este libro cubre todos los objetivos oficiales,
tanto desde un punto de vista teórico como práctico. Ha sido redactado por un consultor certificado
técnicamente por Microsoft. De esta forma, su experiencia pedagógica y técnica se traduce en un
enfoque claro y visual, de un alto nivel técnico. Capítulo tras capítulo podrá validar sus conocimientos
teóricos, gracias a una gran cantidad de preguntas-respuestas (150 en total) que hacen hincapié
tanto en los elementos fundamentales como en las características específicas de los conceptos
abordados. Cada capítulo finaliza con un trabajo práctico (75 en total) que le proporcionará los
medios necesarios para evaluar su autonomía. Estas operaciones concretas, que sobrepasan los
objetivos fijados por el examen, le permitirán desarrollar una experiencia significativa y adquirir
verdaderas competencias técnicas en situaciones reales.
A este dominio del producto y sus conceptos, se añade la preparación específica para la certificación:
podrá acceder de forma gratuita a 1 examen en línea, destinado a entrenarle en condiciones
similares a las de la prueba. En este sitio, cada pregunta está planteada dentro del espíritu de la
certificación y, para cada una, se proveen respuestas suficientemente comentadas para cubrir o
identificar sus lagunas.
Prólogo
Este libro pertenece a la colección Certificaciones de Ediciones ENI y tiene como objetivo la
preparación para la certificación Microsoft 70-412: Configuración y administración avanzada de los
servicios Windows Server 2012 y Windows Server 2012 R2.
1. Acerca del libro

Este libro está compuesto por 15 capítulos que cubren el conjunto de los objetivos oficiales
siguientes:
Implementación de los servicios avanzados de red bajo Microsoft Windows Server 2012 R2
Implementación de los servicios de archivos avanzados
Implementación del acceso dinámico
Implementación del equilibrio de carga (NLB)
Implementación del clúster
Implementación del clúster con Hyper-V
Implementación de la recuperación ante desastres
Implementación del despliegue distribuido de AD DS
Implementación de los sitios AD y su replicación
Implementación de los servicios de certificados (AD CS)
Implementación de la gestión de derechos (AD RMS)
Implementación de los servicios de federación (AD FS)
Los capítulos Presentación de Windows Server 2012 R2 y Los servicios de dominio Active Directory
sirven de recordatorio básico de la administración de los servidores de Microsoft.
Capítulo Presentación de Windows Server 2012 R2
Información del sistema operativo
Presentación de la interfaz gráfica y los métodos abreviados de teclado
Presentación de la instalación del sistema operativo
Configuración y administración del sistema operativo
Capítulo Los servicios de dominio Active Directory
Presentación general de los servicios de directorio Active Directory
Gestión estándar de los objetos usuarios, grupos y equipos
Cada capítulo está compuesto por una parte teórica y una parte práctica con trabajos prácticos en
condiciones de casos reales que puedan surgir en una empresa.
Se puede consultar la tabla detallada con los objetivos oficiales de la certificación al final del
libro.
Condiciones requeridas
Antes de leer este libro, es importante saber a qué público está dirigido, así como el nivel requerido
para el aprendizaje y poder aprobar la certificación Microsoft 70-412: Configuración y administración
avanzada de los servicios Windows Server 2012 R2.
1. Nivel/conocimientos
Este libro se dirige a toda persona que cuente con una experiencia significativa en entornos
Windows. Sin embargo, se recordarán algunos conceptos básicos para refrescar la memoria de
todos. Un administrador Windows podrá seguir fácilmente el contenido de este libro mientras que un
técnico de sistemas y redes podrá posiblemente tener algunas lagunas sobre la parte de
administración avanzada de Microsoft Windows Server 2012 R2.
Se recomienda sin embargo partir de un conocimiento previo acerca de la gestión de servidores y

equipos cliente en entornos Active Directory. Por esta razón este libro está redactado de manera
que cualquier tipo de lector, dentro del mundo informático, pueda comprenderlo, aprender y seguirlo
a su propio ritmo.
2. Certificaciones anteriores
No es necesario haber obtenido las certificaciones particulares de versiones anteriores de Windows
para seguir el plan de certificación MCSA o MCSE Windows Server 2012 R2. Para aquellos que ya
cuenten con las certificaciones del entorno Windows Server 2008, es posible realizar una
actualización aprobando un único examen (70-417).
3. Equipo necesario para los trabajos prácticos

Este manual de ayuda a la preparación de la certificación 70-412 posee varios trabajos prácticos
que permiten poner en práctica la parte teórica. Cada lector deberá procurarse previamente un
entorno de pruebas de acuerdo a los requisitos mínimos que necesita el sistema operativo Windows
Server 2012 R2. En caso de no contar con suficientes máquinas físicas para llevar a cabo los
diferentes trabajos prácticos, es posible construir los laboratorios de ensayo en un entorno Hyper-V
V3, VMware ESX 5.0, VMware Workstation 9.0, XenServer 6.1 u otras soluciones de virtualización
que soporten Windows Server 2012 R2 y Windows 8.1. La máquina empleada para mi laboratorio
cuenta con un procesador de 64 bits Intel Core i7 3630QM 2,4 GHz, 16 GB de RAM y 1 TB de disco
duro. Sin embargo la instalación de Microsoft Windows Server 2012 R2 necesita las características
mínimas siguientes:
Un procesador de 1,4 GHz y una arquitectura de 64 bits.
512 MB de RAM (Microsoft recomienda un mínimo de 1024 MB de RAM).
Un disco duro de 32 GB (en el marco de un entorno de prueba, 20 GB de disco duro por

máquina son suficientes).
Es preferible aislar la red de su entorno de laboratorio para no alterar otros componentes de red
físicos de su empresa o su red doméstica. El laboratorio que servirá para trabajar en los diferentes
trabajos prácticos estará compuesto por las máquinas siguientes:
Máquina IP
DC-01 192.168.0.100
DC-02 192.168.0.101
DC-CORE 192.168.0.102
IPAM-01 192.168.0.103
CLIENT1 192.168.0.104
OXYDC-01 192.168.0.105
ISCSI-01 192.168.0.106
CACHE-01 192.168.0.107
CLIENT2 192.168.0.108
FILES-01 192.168.0.109
DC-03 192.168.0.110
DC-04 192.168.0.111
CS-01 192.168.0.112
CS-02 192.168.0.113
NLB-01 192.168.0.114
NLB-02 192.168.0.115
El plan de estudios de la certificación de Microsoft
Una certificación de Microsoft es un activo importante en el mundo empresarial, especialmente en los
clientes de ”gran cuenta”. Afrontar la certificación le permite poner a prueba sus conocimientos y
competencias técnicas acerca de un producto de la gama de software del fabricante. Microsoft ha
actualizado su plan de estudios de certificación para el producto Windows Server 2012 R2. Aprobar el
conjunto de las certificaciones proporciona acceso a dos títulos específicos: MCSA y MCSE.
1. Detalles del plan de estudios MCSA

El plan MCSA (Microsoft Certified Solutions Associate) constituye la primera etapa de la certificación
del sistema operativo Microsoft Windows Server 2012 R2. Este plan de estudios está compuesto por
tres certificaciones que permiten validar los conocimientos de instalación, configuración y gestión de
la administración avanzada de Windows Server 2012 R2. Estos tres niveles de certificación están
diseñados para los administradores de sistemas:
A partir de enero de 2014, Microsoft ha actualizado el plan de certificación MCSA, teniendo en cuenta
el contenido adicional de Windows Server 2012 R2.
2. Detalles del plan de estudios MCSE

El plan MCSE (Microsoft Certified Solutions Expert) corresponde a la segunda etapa del plan de
certificación del sistema operativo Microsoft Windows Server 2012 R2. Este plan de estudios se
divide en dos partes en función de su orientación a la infraestructura de servidor (MCSE Server
Infrastructure) o la infraestructura vinculada a los puestos de trabajo (MCSE Desktop
Infrastructure). Cada una comprende dos pasos de certificación.
MCSE Desktop Infrastructure
El plan MCSE Desktop Infrastructure está compuesto de las certificaciones 70-415 (Diseño e
implementación de una infraestructura cliente Microsoft) y 70-416 (Implementación de entornos de
puestos de trabajo Microsoft). Este conjunto de competencias permiten validar la capacidad de
implementar un entorno de trabajo seguro para todo tipo de dispositivos (fijos o móviles).
MCSE Server Infrastructure
El plan MCSE Server Infrastructure está compuesto por las certificaciones 70-413 (Diseño e
implementación de una infraestructura de servidores Microsoft) y 70-414 (Implementación de una
infraestructura de servidores Microsoft avanzada). Este conjunto de competencias permiten validar
la capacidad de implementar una infraestructura compleja basada en Windows Server 2012 R2.
El conjunto de los exámenes del plan se presenta en forma de preguntas de selección múltiple. Para
aprobar el examen, es necesario inscribirse en un centro concertado con Microsoft.
A partir de abril de 2014, Microsoft ha actualizado el plan de certificación MCSE, teniendo en cuenta
el contenido adicional de Windows Server 2012 R2.
Requisitos previos y objetivos
1. Requisitos previos
Contar con un buen conocimiento de los entornos Windows.
Saber instalar un sistema operativo Windows.
Contar con una base general de entornos de sistema y red.
2. Objetivos
Conocer las novedades del sistema operativo Windows Server 2012 R2.
Instalar Windows Server 2012 R2 en instalación completa o mínima.
Aprender a navegar a través de la nueva interfaz gráfica.
Configurar la dirección IP de un servidor.
Conocer los requisitos previos de instalación de Windows Server 2012 R2.

Windows Server 2012 R2
Windows Server 2012 R2 es un sistema operativo (orientado al Cloud) de la gama de servidores de
Microsoft. Aparece en el mercado para remplazar a Windows Server 2008 R2 y Windows Server 2012
con el fin de aportar novedades tales como:
Novedades en servicios de certificados Active Directory (AD CS)
Novedades en Active Directory Domain Services (AD DS)
Novedades en Active Directory Rights Management Services (AD RMS)
Novedades en Dynamic Host Configuration Protocol (DHCP)
Novedades en los servicios de nombres (Domain Name System - DNS)
Novedades en la gestión de direcciones IP (IP Address Management - IPAM)
Novedades en BranchCache
Novedades en PowerShell v4
Novedades en la interfaz gráfica
Novedades en Hyper-V
Novedades en el Clúster de conmutación por error
Para obtener más información sobre las novedades de Windows Server 2012 R2, puede consultar el
sitio oficial de Microsoft en la siguiente dirección: http://technet.microsoft.com/es-es/library/dn250019
Existen cuatro ediciones de Microsoft Windows Server 2012 R2:
Windows Server 2012 R2 Foundation: esta edición con funcionalidad limitada del sistema
operativo servirá para las pequeñas organizaciones que deseen dotarse de una solución todo-
en-uno, ya que esta edición sólo está disponible en versión OEM (preinstalado en equipos
nuevos). En esta edición, no es posible realizar virtualización con Hyper-V.
Windows Server 2012 R2 Essentials: esta edición con funcionalidades limitadas del sistema
operativo está más adaptada a las PYMES. En esta edición, tampoco es posible realizar
virtualización con Hyper-V.
Windows Server 2012 R2 Standard: esta edición más completa del sistema operativo
corresponderá a estructuras más importantes. Se encuentran disponibles todas las
funcionalidades a excepción de la virtualización con Hyper-V, que está limitada a solo dos
máquinas virtuales.
Windows Server 2012 R2 Datacenter: esta edición del nuevo sistema operativo para
servidores de Microsoft es la más completa. Ofrece todas las funcionalidades existentes sin
ninguna limitación a nivel de creación de máquinas virtuales. Esta edición corresponderá
perfectamente a entornos complejos como, por ejemplo, estructuras Cloud.
En el marco de los trabajos prácticos de este manual, utilizaremos las versiones Datacenter de
Windows Server 2012 R2.
La configuración de hardware mínima para instalar Windows Server 2012 R2 es la siguiente:
Procesador: arquitectura de 64 bits exclusivamente, velocidad de 1,4 GHz como mínimo (es
recomendable contar con un procesador multinúcleo).
Memoria RAM: 512 MB mínimo (recomendado contar con al menos 1024 MB).
Disco duro: 32 GB mínimo (la instalación real requiere en torno a 10 GB, es necesario que el
sistema cuente con espacio para gestionar la memoria en el disco).
Un monitor: una resolución mínima de 800 x 600 (es recomendable contar con una resolución
mínima de 1024 x 768).
Si desea emplear el sistema operativo para la funcionalidad de virtualización de servidor (Hyper-
V), es preciso asegurar que el procesador cuenta con el juego de instrucciones dedicadas a la
virtualización (AMD-V para los procesadores AMD e INTEL-VT para los procesadores INTEL).
Nueva interfaz gráfica
Microsoft, que nos había habituado a la interfaz gráfica presente en las anteriores versiones de
Windows, cambia de rumbo presentando, con la llegada de Windows 8, una nueva interfaz gráfica.
Esta nueva interfaz, que supone cambiar bastantes hábitos, comienza de forma notable eliminando el
tradicional menú Inicio. Microsoft justifica la opción gráfica de Windows 8 refiriéndose al hecho de que
el menú Inicio está anticuado, se utiliza poco y no se adapta bien a la evolución de las pantallas
táctiles. Los usuarios y empresas han respondido negativamente a esta revolución, lo que podría
frenar significativamente el despliegue masivo de este nuevo sistema operativo. Frente a esta
protesta, Microsoft ha decidido escuchar las necesidades de sus usuarios, reintegrando
el menúInicio en Windows 8.1 y Windows Server 2012 R2. Para acceder a las aplicaciones instaladas
en el equipo debemos, en lo sucesivo, pasar por el menú Inicio. Este menú se estructura empleando
grandes cuadros que representan las aplicaciones y es completamente personalizable (cambiar el
tamaño de los cuadros, desplazar los iconos, etc.).
Ejemplo de la interfaz gráfica de Windows 8.1:
1. Menú Inicio
El tradicional botón Inicio vuelve a aparecer en Windows Server 2012 R2 y Windows 8.1. Haciendo
clic con el botón izquierdo del ratón en él podemos acceder a la pantalla de inicio de la nueva
interfaz gráfica, mientras que un clic con el botón derecho hará aparecer el menú Inicio.
2. Panel de control
El acceso al panel de control también ha sido rediseñado. Existen varias formas de acceder:
mediante el menú Inicio, la pantalla de inicio o a través de accesos directos en la pantalla. Por
ejemplo, es posible acceder pasando el cursor de su ratón por la esquina superior derecha y luego
desplazando el cursor hacia abajo. Esta acción hace aparecer un menú en el que vemos un
engranaje titulado Configuración. Después de hacer clic sobre él, podemos acceder al menú Panel
de control.
El acceso al Panel de control puede, también, realizarse a través de la lista de aplicaciones
presente en la pantalla de inicio o realizando una búsqueda en la nueva barra de herramientas
escribiendo panel.
3. Los programas
El acceso a las aplicaciones se realiza mediante la pantalla de inicio o el menú Inicio.
Por defecto, varias aplicaciones están ocultas. Para mostrar todas las aplicaciones instaladas, haga
clic en el botón .
El escritorio de Windows se visualiza como una aplicación del sistema operativo.
4. Los métodos abreviados de teclado

Para ganar un tiempo precioso durante la administración de un entorno Windows Server 2012 R2 o
Windows 8.1, es importante conocer el conjunto de métodos abreviados funcionales en el nuevo SO.
Durante la administración de un servidor remoto, el manejo de la interfaz a veces puede ser difícil
porque no siempre es fácil señalar con el cursor del ratón sobre los bordes de las pantallas para
mostrar los distintos menús y opciones. Por ello resultará muy útil aprender algunos métodos
abreviados.
Tecla + D: muestra el escritorio de Windows (Desktop).
Tecla + E: muestra el explorador de Windows (Explorer).
Tecla + R: muestra el cuadro de diálogo "Ejecutar" (Run).
Tecla + F: permite realizar una búsqueda de archivos (Find).

Tecla + Q: permite efectuar una búsqueda de tipo completo (búsqueda completa en el
servidor).
Tecla + W: permite realizar una búsqueda de configuración.
Tecla + X: muestra el menú Inicio.
Tecla + C: muestra el panel de menú Windows de la derecha.
Tecla + P: permite configurar una segunda pantalla.
Tecla + M: reduce la ventana activa (Miniatura).

Despliegue de Windows Server 2012 R2
El procedimiento de instalación del sistema operativo Windows Server 2012 R2 ofrece la posibilidad de
desplegar un servidor de dos formas diferentes:
1. Instalación completa
La instalación completa de Windows Server 2012 R2 corresponde a la instalación del sistema
operativo integrando la interfaz gráfica de usuario. La administración de un servidor instalado en
este modo podrá llevarse a cabo mediante las herramientas de administración estándar y la
navegación en el SO se realizará empleando las tradicionales ventanas de Windows además de la
nueva interfaz gráfica. En adelante es posible desinstalar la parte gráfica desde la línea de
comandos PowerShell o empleando la interfaz gráfica:
PowerShell: abra un símbolo de sistema PowerShell y escriba el siguiente comando (con

permisos de Administrador): Uninstall-WindowsFeature User-Interfaces-
Infra, Server-Gui-Mgmt-Infray, a continuación, reinicie el servidor.
Interfaz gráfica: desde el Administrador del servidor, haga clic en Administrar y, a
continuación, en Quitar roles y funciones. En la etapa Quitar características, desmarque la
opción Infraestructura e Interfaces de usuario.
2. Instalación mínima (Servidor Core)

La instalación mínima de Windows Server 2012 R2, también llamada Instalación Server Core,
corresponde a la instalación del sistema operativo desprovisto de su interfaz gráfica de usuario. La
administración de un servidor instalado en modo Server Core se realizará por línea de comandos
una vez conectado en local al equipo. Sin embargo, será posible administrar un Server Core
empleando las herramientas de administración gráfica desde otro equipo de la red que tenga
previamente instalados los componentes RSAT (Remote Server Administration Tools). Cuando se
instala un servidor en modo Server Core, solo se pueden implementar los roles y características de
servidor siguientes:
Servicio Active Directory (AD DS)
Servicio Active Directory Lightweight Directory Services (AD LDS)
Servicio Active Directory Certificate Services (AD CS)
Servicio DHCP
Servicio DNS
Servidor de archivos y almacenamiento
Servicio de transferencia inteligente en segundo plano (BITS)
BranchCache
Hyper-V
Internet Information Services (IIS)
Servicios de impresión
Streaming Media Services
iSCSI
Equilibrio de carga de red (Load Balancing)
MPIO (Multipath I/O)
Experiencia de calidad de audio y vídeo de Windows (qWave)
Servidor Telnet
Migración Unix
Por defecto, los roles y características de servidor no se instalan en el disco duro durante la
instalación del sistema operativo en modo de instalación mínima. Para instalar un componente, se
deberá contar con acceso a una conexión a Internet en la máquina para que el sistema pueda
descargar automáticamente los componentes restantes. Si no existe un acceso a Internet
disponible, es posible cargar las fuentes de instalación de Windows a partir de un DVD-ROM de
instalación escribiendo el comando PowerShell siguiente:
Get-windowsimage -imagepath <Unidad:>\sources\install.wim

Es preciso memorizar el número de índice correspondiente a la versión de instalación del sistema
operativo y, a continuación, escribir el siguiente comando para instalar un rol o característica de
servidor:
Install-WindowsFeature <Nombre de rol/característica> -Source

wim:<Unidad:\sources\install.wim>:<index>
Para conocer el nombre de un rol o característica de servidor, bastará con escribir el comando
PowerShell siguiente: Get-WindowsFeature
El direccionamiento IP
Para poder comunicarse en una red, un servidor provisto de un sistema operativo Microsoft debe
tener una dirección IP configurada y conforme a la subred en la que se encuentre. La dirección IP de
un equipo se configura en los parámetros de la tarjeta de red.
1. Direccionamiento IP dinámico
Por defecto, un sistema operativo no posee una dirección IP después de su instalación. La direción
IP se configura automáticamente mediante un servideor DHCP (Dynamic Host Configuration Protocol)
que se encarga de atribuir todos los parámetros de la configuración de red.
2. Direccionamiento IP estático
Si deseamos configurar el equipo con parámetros específicos, es posible desactivar la opción de
configuración automática para introducir manualmente los parámetros de configuración de una
tarjeta de red. Hablamos, en este caso, de una dirección IP estática.
Los protocolos de red
Los protocolos de red permiten definir la manera en que se efectuarán las comunicaciones y otras
transferencias de datos. Estos protocolos están estructurados en varias capas donde cada una tiene
un alcance y un rol determinado. Es posible encontrar el detalle de las capas en forma de modelos
centrándonos específicamente en el modelo OSI (Open Systems Interconnection, que presenta siete
capas de comunicación) y en el modelo TCP/IP (Transfer Configuration Protocol/Internet Protocol, que
cuenta con cuatro capas de comunicación). Existen varios protocolos de transferencia de datos, pero
el seleccionado para la red Internet es el protocolo TCP/IP, que cuenta con las versiones IPv4 e IPv6.
1. Modelo TCP/IP
El modelo TCP/IP constituye un conjunto de protocolos organizados en cuatro capas de
comunicación distintas. Encontramos, en particular, las capas siguientes:
La capa de Red: correspondiente a la capa física, o el adaptador de red para la comunicación

mediante el envío y la recepción de paquetes de datos.
La capa Internet: es la encargada de proporcionar el paquete de datos (datagrama).
La capa de Transporte: correspondiente a los protocolos de comunicación encargados de

transportar los datos en la red. Encontramos, en particular, dos protocolos de transporte:
TCP: garantiza el transporte de los datos en modo conectado (con acuses de recibo). Se
dice que las comunicaciones garantizadas mediante el protocolo de transporte TCP son
fiables. Mediante el sistema de acuses de recibo, dos equipos que se comunican
conjuntamente pueden garantizar que el conjunto de datos se ha recibido correctamente.
UDP: garantiza el transporte de los datos en modo sin conexión (sin acuses de recibo). Se
dice que las comunicaciones garantizadas mediante el protocolo de transporte UDP no son
fiables. Sin control de errores, la comunicación es más rápida.
La capa de Aplicación: agrupa las aplicaciones estándar de red tales como TELNET, FTP,
SMTP.
2. Protocolo IP
Para comunicarse en la red, un equipo debe estar provisto físicamente de una tarjeta de red y
lógicamente de una dirección IP. La dirección IP permite identificar a un host en la red para
comunicarse con él. Existen dos tipos de direcciones IPv4. Las direcciones que emplean el protocolo
IPV4 y las direcciones que emplean el protocolo IPv6.
a. Direccionamiento IPv4
Una dirección IPv4 está codificada en 32 bits, con 4 bytes separados por un punto. Cada byte
representa un número decimal con un valor entre 0 y 255.
Una dirección IPv4 posee una máscara de subred que define por una parte la dirección de red (los
primeros bytes) y, por otra parte, la dirección de la máquina en la red (los últimos bytes).
Existen dos tipos de direcciones IPv4:
Las direcciones IPv4 privadas: permiten comunicarse en una red de área local.
Las direcciones IPv4 públicas: permiten comunicarse en Internet.
Las direcciones IPv4 privadas tienen cinco tipos de clase no direccionables en Internet para definir
direcciones IP de red de área local:
Inicio Fin Notación Máscara de
CIDR subred
Clase A 0.0.0.0 127.255.255.255 /8 255.0.0.0
Clase B 128.0.0.0 191.255.255.255 /16 255.255.0.0
Clase C 192.0.0.0 223.255.255.255 /24 255.255.255.0
Clase D: utilizada 224.0.0.0 239.255.255.255 /4 Indefinida

para la
multidifusión
(Multicast)
Clase E: reservada 240.0.0.0 255.255.255.255 Indefinida
b. Direccionamiento IPv6
Una dirección IPv6 está codificada en 128 bits, equivalentes a 16 bytes en grupos de dos
separados por dos puntos (:) y representados en hexadecimal. Una dirección IPv6 no posee
máscara de subred, sino prefijos que definen el ID de red de la misma forma que una dirección
IPv4.
La dirección IPv6 posee ciertas similitudes con la dirección IPv4. Por ejemplo:
Una dirección no especificada:
0.0.0.0 (IPv4)
:: (IPv6)
Una dirección de bucle local (Loopback):
127.0.0.1 (IPv4)
::1 (IPv6)
Una dirección APIPA:
169.254.0.0/16 (IPv4)
::64 (IPv6)
Una dirección de difusión (Broadcast):
::255.255.255.255 (IPv6)
Sin broadcast. Se utilizan direcciones de multidifusión (IPv6)
Una dirección de multidifusión (Multicast):
224.0.0.0/4 (IPv4)
FF00::/8 (IPv6)
Existen varios tipos de direcciones cuando se utiliza el protocolo IPv6. Cada tarjeta de red posee
varias direcciones IPv6. Encontramos, en particular, las direcciones IPv6 de tipo:
monodifusión
multidifusión
La administración de Windows Server 2012 R2
El sistema operativo Windows Server 2012 R2 puede administrarse de diferentes maneras. Para facilitar la
administración, es importante conocer y saber manipular las principales herramientas gráficas dedicadas a la gestión
del servidor.
1. La consola Administración de equipos

La consola Administración de equipos es un complemento que permite gestionar los componentes principales de un
servidor. Se encuentra accesible desde una MMC (Microsoft Management Console) añadiendo el
componente Administración de equipos, empleando las herramientas de administración en la carpeta de
aplicaciones instalada en el servidor o mediante el comando DOScompmgmt.msc. Desde esta consola será posible
también administrar Windows Server 2012 R2 empleando diferentes herramientas agrupadas en tres categorías.
Las herramientas del sistema

Esta categoría agrupa:
El Programador de tareas: permite planificar la ejecución de scripts y otras tareas de

administración.
El Visor de eventos: permite consultar los registros de eventos de Windows.
Las Carpetas compartidas: permite consultar los diferentes recursos compartidos activos
en el servidor o crear nuevos recursos compartidos de red.
Los Usuarios y grupos locales: permite gestionar las cuentas y grupos de usuarios
locales, definirlos o restablecer las contraseñas.
La herramienta Rendimiento: permite consultar mediante una herramienta gráfica el

rendimiento de un servidor en función de ciertos criterios.
El Administrador de dispositivos: permite administrar el conjunto de componentes del

servidor y gestionar los controladores de los diferentes dispositivos.
El almacenamiento
Esta categoría agrupa:
La herramienta Copias de seguridad de Windows Server: permite configurar la copia de

seguridad del servidor en una ubicación local, un disco duro o dispositivos externo o incluso
una ubicación en línea empleando la herramienta Windows Azure Online Backup.
La herramienta Administración de discos: permite configurar los diferentes dispositivos de

almacenamiento para gestionar el formato o el particionado de los discos, la asignación de
las letras de unidad o la configuración de los puntos de montaje NFS (Network File System).
Los servicios y Aplicaciones
La herramienta Enrutamiento y acceso remoto: permite, si el servidor se convierte en un

router, configurar la conversión de puertos (NAT) o configurar posibles accesos VPN.
Los Servicios: permiten verificar el estado de cada servicio de Windows en ejecución en el

sistema, configurarlos o incluso, arrancarlos o detenerlos.
La herramienta Control WMI: permite configurar la infraestructura de gestión de Windows.
2. La consola Administrador del servidor

Desde la aparición de Windows Server 2008, Microsoft ha centralizado la administración de los principales
componentes del servidor en una consola denominada Administrador del servidor. Esta consola permite a su vez
agrupar, en una interfaz intuitiva, los principales accesos a los elementos de configuración y gestión del servidor.
Desde esta interfaz es posible agregar roles y características al servidor. Es posible acceder esta consola mediante
el icono Administrador del servidor ubicado en la barra de tareas, o a través de las herramientas administrativas.
3. Las herramientas administrativas

Las herramientas administrativas son esencialmente componentes disponibles, también, en la consola MMC. Estas
herramientas están disponibles desde la ventana de inicio de Windows Server 2012 R2 haciendo clic
en Herramientas administrativas:
Trabajos prácticos
La empresa INFONOVICE desea instalar nuevos servidores. Para ello, solicitará sus servicios con el
objetivo de instalar y configurar el sistema operativo Windows Server 2012 R2.
Para realizar los siguientes trabajos prácticos, deberá implementar las siguientes máquinas virtuales
que albergarán los siguientes roles:
DC-01: controlador de dominio infonovice.priv, servidor DNS y DHCP
Dirección IP: 192.168.0.100
Máscara de subred: 255.255.255.0
DC-CORE: controlador de dominio infonovice.priv, servidor DNS y DHCP
Para realizar los siguientes trabajos prácticos, bastará una máquina virtual con las características
mínimas para ejecutar Windows Server 2012 (una vCPU a 1,4 GHz en arquitectura de 64 bits, un disco
duro de 20 GB como mínimo (suficiente para nuestro entorno de prueba) y 1024 GB de RAM). Habrá
que asegurarse que la BIOS de la máquina virtual esté configurada para arrancar desde la unidad de
CD-ROM:
La máquina virtual deberá, a su vez, contar con una tarjeta de red que podremos configurar
posteriormente.
1. Instalar Windows Server 2012 R2 en modo gráfico

Paso 1: después de arrancar desde un CD de instalación de Windows Server 2012 R2, seleccione
el idioma Español y, a continuación, haga clic en Siguiente:
Paso 2: haga clic en Instalar ahora:
Paso 3: introduzca el número de serie del producto Windows Server 2012 R2 y haga clic
enSiguiente:
Paso 4: seleccione la edición que especifica servidor con una GUI y haga clic en Siguiente:
Paso 5: marque la opción Acepto los términos de licencia y haga clic en Siguiente:
Paso 6: haga clic en Personalizada: instalar solo Windows (avanzado):
Paso 7: seleccione el disco duro de 20 GB (tamaño válido para un entorno de prueba/maqueta) y

haga clic en Siguiente para iniciar la instalación de Windows Server 2012 R2:
Paso 8: escriba una contraseña para la cuenta Administrador (ejemplo: P@ssw0rd) y haga clic
en Finalizar:
Paso 9: presione [Ctrl][Alt][Supr]:

Paso 10: escriba la contraseña de la cuenta Administrador para iniciar una sesión:
Paso 11: al iniciar la sesión, la consola Administrador del servidor se abre automáticamente.
Haga clic en Configurar este servidor local:
Paso 12: a continuación, haga clic en el nombre del servidor:
Paso 13: haga clic en Cambiar:

Paso 14: substituya el nombre de equipo por defecto por DC-01 y haga clic en Aceptar:
Paso 15: haga clic en Aceptar para reiniciar el equipo:

Paso 16: haga clic en Cerrar:
Paso 17: haga clic en Reiniciar ahora:

En este punto, el sistema operativo Microsoft Windows Server 2012 R2 se encuentra instalado con la
interfaz gráfica y el nombre del servidor configurado.
2. Instalar Windows Server 2012 R2 en modo Server Core

Paso 1: después de arrancar desde un CD de instalación de Windows Server 2012 R2, repita las
mismas operaciones que para la instalación con interfaz gráfica, salvo en la etapa 4, donde
deberá seleccionar la edición que especifica Instalación Server Core:
Paso 2: una vez terminada la instalación del sistema operativo, se abrirá una simple ventana
DOS:
Para administrar Windows Server 2012 R2 en modo Server Core, es posible utilizar comandos
DOS o PowerShell.
Para modificar el nombre del equipo empleando comandos DOS
Para conocer el nombre actual del equipo, escriba el comando DOS hostname:
Para modificar el nombre del servidor y llamarlo DC-CORE, escriba el comando DOS
siguiente:netdom renamecomputer <hostname> /NewName:DC-CORE
a continuación, escriba spara confirmar la operación:
Escriba el comando shutdown /r /f para reiniciar el servidor:
Haga clic en Cerrar:

Para modificar el nombre del equipo empleando comandos PowerShell
Escriba powershellen el símbolo del sistema DOS para cambiar a PowerShell:
Escriba el comando Rename-Computer, indicando el nombre que desea atribuir al servidor

como parámetro, por ejemplo DC-CORE:
Escriba el comando shutdown /r /f para reiniciar el servidor:
Haga clic en Cerrar:
Utilizando el método 1 o 2 puede modificar el nombre de un servidor, la modificación será tenida

en cuenta únicamente tras el reinicio. Es posible verificar la modificación del nombre del equipo
escribiendo de nuevo el comando hostnameen el símbolo del sistema DOS.
3. Configurar la interfaz de red

En este taller, se configurará la interfaz de red en modo gráfico o Server Core.
Configuración en modo gráfico
Paso 1: en la consola Administrador del servidor, haga clic en Configurar este servidor local:
Paso 2: a continuación, haga clic en Dirección IPv4 asignada por DHCP, IPv6 habilitado:
Paso 3: haga doble clic en la tarjeta de red a configurar:
Paso 4: haga clic en Propiedades de la tarjeta de red seleccionada:

Paso 5: seleccione el protocolo de red TCP/IPv4 y haga clic en Propiedades:
Paso 6: marque la opción Usar la siguiente dirección IP y configure la dirección IP de su tarjeta
de red. Para este taller, utilizaremos una dirección IP de clase C con un servidor DNS externo. A
continuación, haga clic en Aceptar para validar la nueva configuración:
Para respetar las buenas prácticas, si el servidor a configurar está destinado a convertirse en un
controlador de dominio (rol Active Directory Domain Services), habrá que contar con la
configuración de la sección Servidor DNS introduciendo la dirección IP de bucle invertido (127.0.0.1)
como dirección IP del servidor DNS alternativo, o no preferido.
Paso 7: haga clic en Aceptar y por último en Cerrar.
Configuración en modo Servidor Core
Configuración de la dirección IP por línea de comandos DOS
Introduzca el comando netsh interface ipv4 show interfaces para identificar la

interfaz de red a configurar. Apunte el número de la columna Índ:
Escriba el siguiente comando DOS para configurar la dirección IP de la interfaz de red

previamente identificada:
netsh interface ipv4 set address name="<Índ>" source=static address=

<Dirección IP fija a configurar> mask=<Máscara de subred> gateway=
<Pasarela por defecto>
Para configurar la dirección IP del servidor DNS preferido, escriba el comando siguiente:
netsh interface ipv4 add dnsserver name="<Índ>" address=<Dirección IP del

servidor DNS preferido> index=1
Para configurar la dirección IP del servidor DNS auxiliar, escriba el comando siguiente:
netsh interface ipv4 add dnsserver name="<Índ>" address=<Dirección IP

del servidor DNS auxiliar> index=2
Para verificar su configuración IP, escriba ipconfig /all.
Configuración de la dirección IP por línea de comandos PowerShell
Escriba PowerShellen el símbolo del sistema DOS para cambiar a PowerShell:
Introduzca el comando Get-NetIPInterfacepara identificar la interfaz de red a configurar.

Apunte el número de la columna ifIndex:
Escriba el comando PowerShell para configurar la dirección IP de la interfaz de red previamente

identificada:
New-NetIPAddress -InterfaceIndex <ifIndex> -IPAddress <Dirección IP fija a

configurar> -PrefixLength 24 -DefaultGateway <Pasarela por defecto>
Escriba el comando PowerShell siguiente para configurar la dirección IP de la interfaz del servidor
DNS:
Set-DnsClientServerAddress -InterfaceIndex 12 -ServerAddresses

"192.168.0.254","127.0.0.1"
Para verificar su configuración IP, escriba el comando PowerShell siguiente: Get-

NetIPConfiguration
4. Cambiar nombre de un servidor con sconfig

Paso 1: abra una sesión en el servidor Core.
Paso 2: escriba el comando siguiente: sconfig

Paso 3: para modificar el nombre de equipo, escriba 2y pulse la tecla [Intro]:
Paso 4: escriba DC-CORE1 como el nuevo nombre a asignar al servidor DC-CORE, y valide
pulsando la tecla [Intro]:
Paso 5: escriba INFONOVICE\Administrador, que es una cuenta con permisos de
administración en el servidor para poder efectuar la operación de cambio de nombre del equipo.
Valide, a continuación, pulsando la tecla [Intro]:
Paso 6: escriba la contraseña de la cuenta Administrador del dominio INFONOVICE y, a

continuación, valide pulsando la tecla [Intro]:
Paso 7: haga clic en Sí para reiniciar el servidor y aplicar la modificación:
Paso 8: al reiniciar el servidor, abra de nuevo una sesión en el servidor Core y, a continuación,
escriba el comando hostname para validar que el nombre del servidor se ha cambiado
correctamente:
5. Configurar la dirección IP con sconfig

Paso 1: abra una sesión en el servidor Core.
Paso 2: escriba el comando siguiente: sconfig
Paso 3: para configurar la dirección IP de un servidor, pulse 8y presione la tecla [Intro]:

Paso 4: escriba el número de índice de la tarjeta de red a configurar y pulse la tecla [Intro]:
Paso 5: teclee 1para definir los parámetros de la tarjeta de red:

Paso 6: teclee la letra epara definir una dirección IP estática y valide pulsando la tecla [Intro]:
Paso 7: escriba la dirección IP que desea asignar a la tarjeta de red (por

ejemplo:192.168.0.200) y, a continuación, valide pulsando la tecla [Intro]:
Paso 8: escriba la dirección de la máscara de subred asociada a la tarjeta de red a configurar
(por ejemplo: 255.255.255.0). Pulse a continuación la tecla [Intro] para validar:
Paso 9: escriba la dirección de la pasarela por defecto asociada a la tarjeta de red a configurar
(por ejemplo: 192.168.0.254) y, a continuación, pulse la tecla [Intro] para validar:
Paso 10: teclee el número 2para indicar la dirección de los servidores DNS asociados a la tarjeta
a configurar:
Paso 11: escriba la dirección IP del servidor DNS preferido (por ejemplo: 192.168.0.100) y, a
continuación, pulse la tecla [Intro] para validar:
Paso 12: haga clic en Aceptar:
Paso 13: escriba la dirección IP del servidor DNS alternativo (por ejemplo: 192.168.0.101), y,
a continuación, pulse la tecla [Intro] para validar:
Paso 15: la dirección IP de la tarjeta de red seleccionada está configurada en adelante de forma
estática. Teclee 4para volver al menú principal:
La dirección IP está configurada y el servidor está listo para comunicarse en la red.
Resumen del capítulo
Tras la lectura de este capítulo, hemos visto los conceptos básicos de la navegación en Windows
Server 2012 R2 y la configuración mínima para empezar a utilizar el sistema operativo en una red.
Podría resumirse de la manera siguiente:
Al igual que Windows 8.1, Windows Server 2012 R2 cuenta con la nueva pantalla de inicio.
Windows Server 2012 R2 cuenta con cuatro ediciones:
Windows Server 2012 R2 Foundation
Windows Server 2012 R2 Essentials
Windows Server 2012 R2 Standard
Windows Server 2012 R2 Datacenter
La instalación de Windows Server 2012 R2 puede hacerse de dos maneras:
Instalación completa
Instalación mínima
La consola Administrador del servidor permite administrar las características esenciales de

Es posible configurar la dirección IP de un servidor de forma dinámica o estática utilizando IPv4

o IPv6.
Validación de conocimientos: preguntas/respuestas
Si cree que sus conocimientos acerca de este capítulo son suficientes, responda a las siguientes
preguntas.
1. Preguntas
1 ¿Cuáles son las cuatro ediciones de Windows Server 2012 R2?
2 ¿Qué combinación de teclas permite efectuar una búsqueda de aplicaciones?
3 ¿Qué combinación de teclas permite mostrar el panel del menú derecho de Windows?
4 ¿A qué corresponde la instalación mínima de Windows Server 2012 R2?
5 ¿A qué corresponde la instalación completa de Windows Server 2012 R2?
6 ¿Qué significa RSAT? ¿Para qué sirve RSAT?
7 ¿Es compatible el componente DNS con una instalación mínima de Windows Server 2012 R2?
8 ¿Qué es una dirección IP estática?
9 ¿Qué es una dirección IP dinámica?
10 ¿Qué comando permite mostrar el nombre de host de un equipo?
11 ¿Es posible instalar Windows Server 2012 R2 en una infraestructura de 32 bits?
12 ¿Qué comando PowerShell permite cambiar el nombre de un equipo?
13 ¿Qué comando permite configurar un Server Core mediante una interfaz básica?
14 ¿Cuáles son las características mínimas para instalar Windows Server 2012 R2?
15 ¿Qué comando PowerShell permite mostrar la configuración IP de un servidor?
16 ¿De cuántos bytes se compone una dirección IPv6?
18 En el modelo TCP/IP, ¿para qué sirve la capa de red?
2. Resultados
Consulte las páginas siguientes para verificar sus respuestas. Por cada respuesta correcta, sume un
punto.
Número de puntos: /18
Para este capítulo, la puntuación mínima es de 14/18.
3. Respuestas
1 ¿Cuáles son las cuatro ediciones de Windows Server 2012 R2?
Las cuatro ediciones de Windows Server 2012 son las siguientes:
Windows Server 2012 R2 Foundation (versión OEM, limitada a 15 usuarios y sin Hyper-V)
Windows Server 2012 R2 Essentials (limitada a 25 usuarios y sin Hyper-V)
Windows Server 2012 R2 Standard (2 máquinas virtuales en Hyper-V)
Windows Server 2012 R2 Datacenter (máquinas virtuales ilimitadas en Hyper-V)
2 ¿Qué combinación de teclas permite efectuar una búsqueda de aplicaciones?

Para buscar una aplicación, basta con pulsar simultáneamente las teclas + Q.
3 ¿Qué combinación de teclas permite mostrar el panel del menú derecho de Windows?
Para mostrar el panel del menú derecho de Windows, basta con pulsar simultáneamente las teclas
+ C.
4 ¿A qué corresponde la instalación mínima de Windows Server 2012 R2?
La instalación mínima de Windows Server 2012 R2 corresponde a la instalación del sistema

operativo sin la interfaz gráfica de usuario. Otros módulos, como Internet Explorer, no vienen
instalados en este tipo de instalación y tampoco se encuentran disponibles todos los roles y
características del servidor.
5 ¿A qué corresponde la instalación completa de Windows Server 2012 R2?
La instalación completa de Windows Server 2012 corresponde a una instalación del sistema
operativo provista de una interfaz gráfica y del conjunto de componentes disponibles.
6 ¿Qué significa RSAT? ¿Para qué sirve RSAT?
RSAT significa Remote Server Administration Tools. Si un administrador desea administrar

servidores desde un servidor miembro del dominio o un puesto cliente como Windows 7 u 8.1, es
posible añadir las herramientas de administración manualmente. La instalación de la herramienta
RSAT en un puesto cliente permite añadir el conjunto de componentes necesarios para la
administración de los servidores Windows.
7 ¿Es compatible el componente DNS con una instalación mínima de Windows Server 2012 R2?
El componente DNS está disponible en la instalación mínima de Windows Server 2012 R2.
8 ¿Qué es una dirección IP estática?
Una dirección IP estática representa una dirección IP fija asignada manualmente.
9 ¿Qué es una dirección IP dinámica?
Una dirección IP dinámica representa una dirección IP asignada mediante un servidor DHCP. La
dirección IP asignada posee una concesión durante la cual ningún otro equipo podrá recibir la
dirección configurada.
10 ¿Qué comando permite mostrar el nombre de host de un equipo?
El comando hostnamepermite mostrar el nombre de equipo.

11 ¿Es posible instalar Windows Server 2012 R2 en una infraestructura de 32 bits?
Uno de los requisitos para la instalación de Windows Server 2012 R2 consiste en instalar el
sistema operativo en un procesador de arquitectura de 64 bits com o m ínim o.
12 ¿Qué comando PowerShell permite cambiar el nombre de un equipo?
El comando PowerShell Rename-Computerpermite cambiar el nombre de un equipo.

13 ¿Qué comando permite configurar un Server Core mediante una interfaz básica?
El comando sconfigpermite llamar a una interfaz de fácil manejo para configurar los elementos
básicos de un Servidor Core.
14 ¿Cuáles son las características mínimas para instalar Windows Server 2012 R2?
Las características mínimas de instalación de Windows Server 2012 R2 son las siguientes:
Un procesador de 64 bits a 1,4 GHz como mínimo.
512 MB de memoria RAM.

32 GB de disco duro.
15 ¿Qué comando PowerShell permite mostrar la configuración IP de un servidor?
Se trata del comando Get-NetIPConfiguration.

Una dirección IPv6 está compuesta de 16 bytes o 128 bits.
Una dirección IPv4 está compuesta de 4 bytes o 32 bits.
18 En el modelo TCP/IP, ¿para qué sirve la capa de red?
La capa de red corresponde a la capa física del equipo (la tarjeta de red, por ejemplo).
Saber instalar el sistema operativo Windows Server 2012 R2.
Conocer las bases de la autenticación de un usuario Microsoft.
Conocer las bases de la gestión de grupos de seguridad.
Conocer las bases de un directorio corporativo.
2. Objetivos
Comprender el rol de un directorio Active Directory en una empresa.
Comprender las nociones de dominios y controladores de dominio.
Comprender la gestión de cuentas de usuario.
Comprender la gestión de grupos de seguridad.
Saber instalar un controlador de dominio Active Directory.

Conocer los fundamentos IPv4.
Instalar y configurar la dirección IP de un equipo cliente.
Instalar y configurar un controlador de dominio Active Directory.
Conocer las bases de la gestión de un servidor DNS.
Conocer las bases de la gestión de un servidor DHCP.
2. Objetivos
Comprender el rol de un servidor DNS.
Conocer las diferentes zonas DNS.
Instalar el rol DNS.
Configurar las opciones avanzadas de un servidor DNS.
Optimizar un servidor DNS.
Configurar DNSSEC.
Comprender el rol de un DHCP.
Instalar el rol DHCP.
Configurar las opciones avanzadas de un servidor DHCP.
Configurar la conmutación por error en caso de fallo de un servidor DHCP.
Comprender el rol de gestión de direcciones IPAM.
Instalar y configurar la gestión de direcciones IPAM.

Servicio DNS
Todo equipo en una red posee una dirección IP (IPv4 o IPv6) para comunicarse. Las máquinas se
adaptan perfectamente a la conservación de información en forma de bytes, mientras que un ser
humano tiene grandes dificultades para retener un conjunto de direcciones IP para acceder a un
servicio o un sitio web. Por este motivo, se creó el archivo de resolución de nombres llamado Hosts.
Este archivo local (%SYSTEMROOT%\system32\drivers\etc\hosts) permite resolver los nombres
de dominio en direcciones IP. Este archivo de sistema se limita a un uso local para cada equipo de la
red. El servicio DNS se ha creado para ofrecer un sistema de resolución de nombres a escala de una
red informática. Hoy en día, toda red informática emplea un servicio de resolución de nombres llamado
DNS (Domain Name System).
1. Presentación del servicio DNS

Un servidor DNS ofrece la posibilidad de traducir un nombre sencillo (más fácil de recordar) en una
dirección IP. Varios componentes de una red informática no funcionarían sin DNS. Por ejemplo, un
controlador de dominio (AD DS) no puede funcionar sin el componente de resolución de nombres ya
que Active Directory funciona de manera conjunta con un servidor DNS. En Microsoft Windows Server
2012 R2, el servicio DNS se implementa como un rol de servidor integrado en el sistema operativo.
Este rol de servidor (disponible en la instalación completa de Windows o en un servidor Core) puede
implementarse en un servidor independiente del dominio (Standalone), en un servidor miembro de
un dominio, o en un controlador de dominio. Sin embargo, un servidor DNS puede o no estar
integrado en un dominio Active Directory. La implementación de DNS dentro de Active Directory
aporta funcionalidades adicionales como, por ejemplo, una seguridad reforzada.
Los servidores DNS en Internet están organizados de forma jerárquica. En la cima de esta jerarquía
se encuentran los llamados servidores DNS raíz. Actualmente existen 13 servidores raíz a escala
mundial. Los servidores raíz que representamos esquemáticamente por un punto redirigen las
peticiones DNS a los servidores del nivel jerárquico inferior que cuenten con autoridad sobre los
recursos solicitados.
Los servidores DNS situados bajo los servidores raíz se conocen como servidores de primer nivel o,
más exactamente, servidores TLD (Top Level Domains). Los servidores TLD gestionan los registros de
más alto nivel del tipo *.com, *.net, *.org, etc. Cada país posee a su vez un registro de más alto
nivel del tipo *.es (España), *.de (Alemania), *.it (Italia), *.nz (Nueva Zelanda), *.fr (United-Kingdom:
Reino Unido), *.be (Bélgica), etc.
Los servidores DNS situados en los servidores TLD se conocen como servidores de segundo nivel. Es
en este nivel donde un proveedor de nombres de dominio podrá asignar un nombre de dominio
único para empresas o particulares de tipo infonovice.es, infonovice.com. Para cada nombre de
dominio, es posible crear un subdominio del tipo mail.infonovice.es, calendario.infonovice.es, etc.
Esquema de la jerarquía de servidores DNS en Internet:

En el esquema anterior, podemos ver la estructura jerárquica de los servidores DNS de Internet. Si
deseamos acceder a la resolución de nombres de subdominio mail.infonovice.es, será necesario
realizar una búsqueda DNS recursiva de tres niveles.
2. Funcionamiento del servicio DNS

El servicio DNS funciona en modo cliente/servidor. Todo equipo Windows posee un cliente DNS
encargado de realizar las peticiones DNS destinadas a un servidor DNS configurado en los
parámetros de la tarjeta de red.
El cliente DNS efectúa las peticiones DNS con destino al puerto UDP 53 de un servidor DNS (local o
remoto).
Cuando se realiza una solicitud de resolución de nombres por parte de un cliente a un servidor DNS,
la respuesta se registra en la caché DNS. Esta operación se efectúa a través del servicio de nombres
de Windows llamado Cliente DNS, que se encarga de actualizar la cache DNS y registrar el nombre
de host del equipo en el servidor DNS local.
Si se detiene el Cliente DNS, el equipo no podrá registrarse a sí mismo en un servidor DNS ni podrá
actualizar la caché con los resultados de solicitudes DNS.
a. Herramientas por línea de comandos DOS
Para consultar el contenido de la caché DNS de un equipo cliente, basta con escribir el comando
siguiente: ipconfig /displaydns
Para vaciar el contenido de la caché DNS de un equipo cliente, escriba el comando

siguiente:ipconfig /flushdns
Para registrar el nombre de host de un equipo en el servidor DNS local, escriba el comando
siguiente: ipconfig /registerdns
b. Principio de resolución de nombres DNS
Cuando un puesto cliente desea acceder a un servicio, tal como un sitio web, cuenta con un
mecanismo de peticiones DNS que lo gestiona de forma completamente transparente para el
usuario:
1. Un usuario quiere acceder al sitio web infonovice.es empleando su navegador
web. Una vez que se ha introducido la URL, el puesto cliente realiza una
petición DNS al servidor DNS de su proveedor de acceso Internet (ISP) para
saber si éste conoce la dirección IP del nombre de dominio infonovice.es.
2. Si el servidor DNS del ISP desconoce la dirección IP del nombre de dominio

solicitado, arranca un proceso de búsqueda recursiva. El servidor DNS del ISP
solicita, a continuación, a los servidores raíz la dirección IP de los servidores
DNS de la zona es.
3. Uno de los 13 servidores raíz contactados responde al servidor DNS del ISP
indicándole los servidores DNS con autoridad para la zona es.
4. El servidor DNS del ISP contacta, a continuación, con uno de los servidores DNS
de la zona es solicitándole la dirección IP de los servidores DNS que tengan el
nombre de dominio infonovice.es.
5. Uno de los servidor DNS de la zona es responde al servidor DNS del ISP
indicándole el nombre y la dirección IP del servidor DNS que tiene autoridad en
el dominio infonovice.es.
6. El servidor DNS del ISP contacta, a continuación, con los servidores DNS con
autoridad sobre el dominio infonovice.es solicitándole la dirección IP del nombre
del dominio.
7. Uno de los servidores DNS contactados con autoridad para el nombre de

dominio infonovice.es, responde al servidor DNS del ISP indicándole la dirección
IP del nombre de dominio.
8. El servidor DNS del ISP responde al puesto cliente indicándole la dirección IP del
nombre de dominio infonovice.es.
9. El puesto cliente accede entonces al sitio web http://infonovice.es a partir de su

dirección IP.
10. El sitio web infonovice.es responde al puesto cliente proporcionándole la página
web del sitio.
3. Administración del servicio DNS

Durante la instalación del rol Servidor DNS se crea un servicio Windows llamado Servidor DNS con
arranque automático. Este mismo servicio se encargará de responder a las peticiones DNS de los
clientes de la red.
La instalación del rol DNS se realiza en la siguiente carpeta de sistema:

%SYSTEMROOT%\System32\dns\
Esta carpeta de instalación contendrá los elementos siguientes:
La caché DNS ubicada en la siguiente

ubicación:%SYSTEMROOT%\System32\dns\cache.dns.
Los registros del servidor DNS contenidos en el archivo dns.log.
La carpeta samples, que contiene ejemplos de archivos de configuración de DNS.
La carpeta de copia de seguridad de los archivos de la configuración de DNS llamada Backup:
El proceso de instalación del rol de servidor copia a su vez el complemento llamado DNS, disponible
en las herramientas administrativas o una nueva MMC. También es posible instalar estas consolas
en un servidor que no cuente con el componente DNS, o en un puesto cliente como Windows 8.1,
instalando las herramientas de administración RSAT (Remote Server Administration Tools).
Para abrir esta consola podemos también escribir el comando dnsmgmt.msc.

O hacer clic en DNS en la pantalla de inicio de Windows Server 2012 R2:
Es posible administrar un servidor DNS usando la consola gráfica (MMC) o por línea de comandos
Dnscmd o PowerShell.
Para acceder a la gestión de configuración de un servidor DNS de un dominio Active Directory,

la cuenta de administrador debe pertenecer al grupo Admins. del dominio. Para administrar el
conjunto de los servidores DNS de cualquier dominio del bosque Active Directory, la cuenta de
administrador empleada debe pertenecer al grupo Administradores de empresas.
a. Implementación de los registros detallados
De manera predeterminada un servidor DNS genera registros, que pueden consultarse mediante el
complemento Visor de eventos, en la sección Registros de aplicaciones y servicios, del
registroDNS Server (o directamente en la consola DNS, en la sección Registros globales del
registroEventos DNS):
Estos registros realizados por el servidor DNS pueden servir para realizar diagnósticos en la
resolución de problemas o simplemente para verificar el correcto funcionamiento del servicio. Los
registros almacenados pueden ser de varios niveles:
Información
Advertencia
Error
Comentario
Crítico
Si se desea un diagnóstico más exacto, existe la posibilidad de activar registros más detallados.
Esta acción tendrá como objetivo generar un registro suplementario que utilizará recursos
complementarios del servidor. Estos registros son muy extensos, no es recomendable mantener
esta opción activada mucho tiempo. Los registros de depuración se encuentran disponibles en las
propiedades del servidor DNS:
La activación del registro de depuración requiere las siguientes acciones:
Marque la opción Paquetes de registro para depuración.
Marque las opciones deseadas.
Indique la ruta completa del archivo de registro dedicado a la depuración.
Indique el tamaño máximo del archivo de depuración.
b. Registros DNS
Un servidor DNS puede gestionar varios tipos de registros llamados registros de recursos. Estos
registros permiten identificar un equipo, un servidor, un servicio, un alias o un controlador de
dominio. Estos recursos puede crearlos dinámicamente el sistema de instalación del rol de servidor
DNS o un equipo cliente que se registre en el servidor DNS. También es posible que un
administrador cree manualmente estos registros. No es posible crear un registro de recursos en
una zona DNS.
A continuación se enumeran los principales tipos de registros de recursos:
Host A o AAAA: este tipo de registro de recursos permite identificar un equipo en la red
empleando su dirección IP y su nombre de dominio FQDN. Un host A corresponde a un
equipo identificado empleando su dirección IPv4, mientras que un host AAAA corresponde a
un equipo identificado mediante su dirección IPv6.
Alias (CNAME): este tipo de registro se denomina también, nombre canónico. Permite
identificar un equipo en la red mediante un nombre diferente al FQDN.
Intercambio de correo (MX): este tipo de registro de recursos identifica un servidor de

correo electrónico en una red (MX = Mail eXchanger). Cuando un cliente emplea el protocolo
SMTP (Simple Mail Transfer Protocol) para enviar e-mails, contacta con un servidor DNS para
recuperar la lista de servidores de correo definidos en los registros de tipo MX. Si existen
varios servidores de mensajería, se contactará en primer lugar con el servidor que tenga
definida la máxima prioridad para enviar un e-mail. A menor valor numérico del
campoPrioridad del servidor de correo, mayor será la prioridad del servidor de correo
electrónico.
Registro de servicio (SRV): este tipo de registro de recursos permite identificar un servicio
específico en la red (por ejemplo: un servidor Kerberos, un servidor de catálogo global, un
servidor LDAP). Un equipo cliente puede preguntar a un servidor DNS para recuperar la lista
de registros SRV que le permitirá conectarse a los recursos adecuados en función de su
ubicación geográfica.
Inicio de autoridad (SOA): este tipo de registro se crea en primer lugar y permite indicar
los parámetros de una zona (SOA = Start Of Authority). Encontraremos, en particular, los
siguientes parámetros:
Numero de serie: este número se incrementa con cada actualización del archivo.
Servidor principal: servidor sobre el que se crea el registro SOA.
Persona responsable: dirección de e-mail del responsable de la zona.
Intervalo de actualización: indica la frecuencia de las solicitudes de actualización de una

zona DNS de un servidor DNS secundario en un servidor DNS principal.
Intervalo de reintento: indica el período durante el cual un servidor DNS secundario que
no podía ponerse en contacto con el servidor DNS primario debe esperar antes de volver
a solicitar la actualización de la zona para recuperar un registro SOA.
Expira después de: indica el tiempo tras el que el servidor DNS secundario que no ha
podido recuperar el registro SOA del servidor DNS principal deja de responder a las
solicitudes de clientes para el nombre de la zona DNS.
TTL mínimo: duración mínima de un registro DNS.

Servidor de nombres (NS): este tipo de registro permite identificar los servidores DNS del
dominio (NS = Name Server).
Puntero (PTR): este tipo de registro permite realizar una correspondencia entre una
dirección IP y un nombre de dominio FQDN empleando un registro de recursos presente en
una zona de búsqueda inversa (PTR = Pointer Record).
c. Limpieza de registros DNS
Un servidor DNS almacena diferentes tipos de registros en su base de datos (por ejemplo:
registros de tipo A - Hostname). Cuando los registros dinámicos ya no sirven, se eliminan
automáticamente.
Por defecto, la opción de borrado de registros obsoletos se encuentra deshabilitada. Es posible (y

especialmente recomendable) activarla en las propiedades del servidor DNS o en las propiedades
de una zona. Para activar la limpieza de registros DNS hay que editar las propiedades del servidor
DNS haciendo clic en Establecer caducidad/borrado para todas las zonas…:
Intervalo sin actualización: después de crear un registro DNS, este parámetro indica
durante cuánto tiempo no es posible actualizar el registro. La marca de tiempo del registro
permite calcular el tiempo durante el cual el cliente no ha renovado su registro.
Intervalo de actualización: después de crear un registro DNS, éste no puede actualizarse

durante el periodo sin actualización. Cuando finaliza este periodo de tiempo, este
parámetro indica el tiempo durante el que el registro permanecerá almacenado en el
servidor DNS. Durante el intervalo de actualización, los equipos cliente podrán actualizar los
registros DNS y reiniciar su marca de tiempo. Si este no fuera el caso, los registros DNS se
eliminarán al expirar el intervalo de actualización.
Por defecto, un equipo cliente intentará renovar su registro DNS (refrescar su marca de
tiempo) tras cada arranque, con cada expiración de la concesión de dirección IP asignada o
cada 24 horas.
Para activar los parámetros de caducidad/borrado a nivel de zona, hay que editar las propiedades
de la zona DNS haciendo clic en Caducidad… en la pestaña General:
No basta con habilitar el parámetro de borrado del servidor DNS o de las zonas para que el
proceso arranque. Para ello, es preciso iniciarlo manualmente haciendo clic en Borrar registro de
recursos obsoletos desde el menú contextual (haciendo clic con el botón derecho) en el servidor
DNS seleccionado.
Para activar la limpieza automática de los registros obsoletos habrá que editar las propiedades del
servidor DNS, pestaña Opciones avanzadas, y marcar la opción correspondiente:
Los registros DNS dinámicos se crean con una marca de tiempo. Los parámetros de
caducidad/borrado se basan en esta marca de tiempo para establecer si el registro debe borrarse
o no:
Los registros DNS estáticos no se crean con una marca de tiempo. En consecuencia, la opción de
caducidad/borrado no podrá eliminar estos registros:
d. Reenviadores del servicio DNS
Un servidor DNS se encarga de responder a los clientes DNS enviándoles la correspondencia IP /

Nombre de equipo en el espacio de nombres donde tiene autoridad o en los resultados de otras
búsquedas almacenadas en caché. Cuando un servidor DNS no puede encontrar correspondencias,
llama a un sistema de redirección de peticiones, para que otro servidor DNS pueda ayudar a
resolver la información desconocida. Este mecanismo puede utilizar dos tipos de redirección:
Los reenviadores
Cuando no es posible resolver una petición DNS buscando información en el espacio de nombres
configurado, el servidor DNS puede llamar a un reenviador. Un reenviador es un conjunto de
servidores DNS que permiten al servidor DNS local transmitir todas sus peticiones DNS no
resueltas. Si no es posible encontrar un servidor DNS disponible como reenviador, el servidor DNS
local reenvía las consultas no resueltas a uno de los 13 servidores DNS raíz.
Generalmente, el administrador encargado del servidor DNS de un dominio configura los
reenviadores indicando los servidores DNS del ISP (proveedor de acceso a Internet). Para acceder
a este parámetro, hay que mostrar las propiedades del servidor DNS del dominio y, a continuación,
seleccionar la pestaña Reenviadores.
Existen también servidores DNS públicos (también llamados OpenDNS) como los famosos
servidores DNS de Google cuyas direcciones IP son las siguientes:
IP del DNS Google IPv4:
8.8.8.8
8.8.4.4
IP del DNS Google IPv6:
2001:4860:4860::8888
2001:4860:4860::8844
De esta forma, cuando una petición no puede resolverse, el servidor DNS del dominio transfiere la
petición al servidor DNS del ISP o al que esté configurado en la pestaña Reenviadores.
Los reenviadores condicionales
Los reenviadores condicionales tienen también como función transferir peticiones DNS a otros
servidores DNS siempre que éstas tengan como destino un dominio en particular. De esta forma,
toda petición DNS que posea el nombre de dominio configurado será siempre transferida a los
servidores DNS con autoridad sobre los registros de recursos.
Para crear un redirector condicional, basta con indicar la dirección o direcciones IP de los servidores
DNS del dominio de destino.
Un redirector condicional funciona de la misma forma que una zona de rutas internas a diferencia
de que la configuración de los servidores DNS del dominio objetivo es estática, mientras que una
zona de rutas internas actualizará de forma dinámica la lista de servidores DNS del dominio de
destino.
Es posible alojar un redirector condicional en una partición de directorio Active Directory (a nivel del
bosque o del dominio).
e. Copia de seguridad de la configuración DNS
La copia de seguridad de las zonas DNS es un aspecto importante para el administrador del
sistema. En caso de siniestro, será muy importante disponer de una copia de seguridad de la
configuración del servidor DNS para poder restablecer el servicio rápidamente. También se
recomienda implementar una estrategia de copia de seguridad adecuada para evitar cualquier
accidente. Una copia de seguridad completa del servidor basta para guardar la configuración DNS,
pero también es posible guardar las zonas DNS integradas o no en Active Directory de forma
individual.
Las zonas DNS primarias no integradas en Active Directory se almacenan en forma de

archivos en la carpeta %SYSTEMROOT%\System32\dns.
Por ejemplo, la zona primaria (no integrada en Active Directory) llamada infonovice.local se
copiará en el archivo infonovice.local.dns:
Realizar una copia de seguridad de las zonas primarias consistirá entonces en agregar a la
directiva de copia de seguridad los archivos con extensión *.dns.
Las zonas DNS integradas en Active Directory se almacenan en una partición del directorio.
En otras palabras, la copia de seguridad completa de un controlador de dominio guarda a
su vez las zonas DNS integradas en Active Directory. Es posible, sin embargo, almacenar
una zona integrada en Active Directory por línea de comandos mediante PowerShell o
Dnscmd.
Copia de seguridad de una zona DNS integrada en Active Directory empleando

PowerShell:
Export-DnsServerZone -Name <Nombre de la zona> -Filename <Nombre backup>
Copia de seguridad de una zona DNS integrada en Active Directory empleando Dnscmd:
Dnscmd /ZoneExport <Nombre de la zona> <Nombre del archivo de backup>
Los backups de las zonas de DNS se realizan en el directorio raíz de DNS

(%SYSTEMROOT%\Sytem32\dns).
4. Zonas DNS
Un servidor DNS tiene como función gestionar los registros de recursos. Un recurso representa la
asociación de una dirección IP y un nombre de dominio llamado FQDN (Fully Qualified Domain Name).
Para albergar y gestionar mejor estos recursos, un servidor DNS almacena los registros en
contenedores llamados zonas DNS. Una zona agrupa un conjunto de registros vinculados a un
dominio o un espacio de nombres. Microsoft Windows Server 2012 R2 puede gestionar de forma
nativa tres tipos de zona (las zonas principales, las zonas secundarias y las zonas de rutas
internas), además de una zona especial llamada GlobalNames que no está disponible de manera
predeterminada.
a. Zona principal
Una zona principal contiene todos los registros DNS sobre los que el servidor tiene autoridad. Esta
zona puede o no estar integrada en Active Directory. Una zona principal funciona en lectura o
escritura, salvo si esta última está almacenada en un controlador de dominio de solo lectura
(RODC: Read Only Domain Controller). Si la zona no está integrada en Active Directory, se
almacenará en el servidor dentro de un archivo con la extensión *.dns en la
carpeta%SYSTEMROOT%\System32\dns. Almacenar la zona principal en Active Directory
asegura la actualización de los registros DNS así como la replicación nativa para todos los
contralores de dominio del bosque.
b. Zona secundaria
Una zona secundaria contiene una réplica de una zona principal. Una zona secundaria funciona en
solo lectura. No es posible que un cliente la actualice. Para actualizarla, la zona secundaria
interrogará a la zona principal para recuperar la información a actualizar. Esta zona se almacena
en la carpeta %SYSTEMROOT%\System32\dns en un archivo con extensión *.dns. El
inconveniente de una zona secundaria es que no puede almacenarse en una partición del
directorio Active Directory. Por ello, el administrador de los servidores DNS de una empresa deberá
crear en cada servidor una zona DNS secundaria que contenga un espacio de nombres de otro
bosque.
c. Zona de búsqueda inversa
Una zona de búsqueda inversa permite recuperar un nombre de host cuando solo se conoce su
dirección IP. Por defecto, la zona de búsqueda inversa no se crea automáticamente durante la
instalación del servidor DNS. Habrá que crearla y configurarla manualmente indicando la subred en
la que debe crearse la zona.
d. Zona de rutas internas
Una zona de rutas internas es, al igual que un reenviador condicional, un puntero que apunta a los
servidores DNS de otro dominio o espacio de nombres. A diferencia de un reenviador condicional, la
zona de rutas internas actualiza dinámicamente la lista de servidores DNS que tienen autoridad
sobre el espacio de nombres remoto. Asimismo, se almacena una zona de rutas internas en la
carpeta %SYSTEMROOT%\System32\dns en un archivo de extensión *.dns, aunque también
puede estar integrada en Active Directory.
Por ejemplo: el administrador del dominio infonovice.priv desea que los puestos cliente puedan
resolver las peticiones destinadas al dominio oxylive.local ubicado en otro bosque. Podrá decidir
crear una zona de rutas internas que tenga como objetivo reenviar todas las peticiones DNS
destinadas a los servidores DNS con autoridad en el espacio de nombres oxylive.local.
e. Zona GlobalNames
Una zona GlobalNames es un tipo de zona especial incorporada en Windows Server 2008. Su rol es
realizar las mismas funciones que el tradicional servidor WINS (Windows Internet Name Service). Es
decir, su objetivo es registrar las direcciones IP correspondientes a los nombres de equipos en
formato NetBIOS y no FQDN. No es posible actualizar una zona GlobalNames dinámicamente. Solo
puede almacenar registros estáticos. Por ello, la utilización de estas zonas debe limitarse a un
número de equipos restringido. En cierto modo, un registro GlobalNames vuelve a crear un alias
para un equipo existente declarado en una zona DNS principal.
Por defecto, una zona GlobalNames no aparece en las opciones de configuración de un servidor
DNS. Para emplear esta nueva funcionalidad, es preciso activarla manualmente siguiendo estas
operaciones:
Paso 1: abra un símbolo del sistema PowerShell haciendo clic en el icono asociado:
Paso 2: escriba el comando PowerShell siguiente para activar las zonas GlobalNames:
Set-DnsServerGlobalNameZone -Enable $True -PassThru
La opción PowerShell -PassThru permite ejecutar el comando Get-

DnsServerGlobalNameZoneal final del comando para verificar que la configuración de la
zona GlobalNames se ha activado correctamente. También es posible activar una
zonaGlobalNames ejecutando el comando DNSCMD siguiente: dnscmd /config
/EnableGlobalNamesSupport 1
Paso 3: abra el administrador del servidor DNS:
Paso 4: haga clic con el botón derecho en el servidor y, a continuación, haga clic en Zona
nueva…:
Paso 5: haga clic en Siguiente:

Paso 6: seleccione Zona principal y marque la opción Almacenar la zona en Active Directory.
Haga clic en Siguiente:
Paso 7: marque la opción Para todos los servidores DNS que se ejecutan en controladores
de dominio en este bosque: infonovice.priv y haga clic en Siguiente:
Paso 8: marque la opción Zona de búsqueda directa y haga clic en Siguiente:
Paso 9: escriba GlobalNames en el nombre de la zona y haga clic en Siguiente:

Paso 10: marque la opción No admitir actualizaciones dinámicas y haga clic en Siguiente:
Paso 11: haga clic en Finalizar:

Para ganar tiempo en la creación de la zona de búsqueda directa GlobalNames, podemos no
utilizar la interfaz gráfica y ejecutar el siguiente comando PowerShell: Add-
DnsServerPrimaryZone -Name GlobalNames -ReplicationScope Forest
Llegados a este punto, la zona GlobalNames creada está operativa en lo sucesivo. Para probarla y
verificar su funcionamiento, tendremos que realizar las operaciones siguientes:
Paso 1: abra el administrador del servidor DNS:
Paso 2: despliegue el árbol del servidor para seleccionar la zona GlobalNames en la

carpetaZonas de búsqueda directa:
Paso 3: haga clic con el botón derecho en GlobalNames y, a continuación, haga clic en Alias
nuevo (CNAME):
Paso 4: haga clic en Examinar... para seleccionar un equipo cliente declarado en una de las
zonas de búsqueda directa, escriba el nombre del alias (ejemplo: TestGlobalNames) que
desea utilizar y haga clic en Aceptar:
Paso 5: abra un símbolo del sistema DOS y escriba el comando siguiente Ping <Nombre
del alias GlobalNames previamente definido>:
Por ejemplo Ping TestGlobalNames:

Es posible confirmar que el alias definido en la zona GlobalNames lo resuelve correctamente
cualquier host del bosque.
5. DNS y Active Directory

El servicio de directorio de Microsoft funciona dentro de una red basándose en el espacio de
nombres. Active Directory no puede funcionar sin el servicio DNS. Al instalar una infraestructura
Active Directory, es recomendable instalar el servicio DNS integrado de Microsoft. Esto no es una
regla absoluta. Es perfectamente posible utilizar un servidor DNS externo con Active Directory pero
esto complica más la administración.
Cuando el servicio DNS se encuentra integrado con Active Directory, el asistente de configuración va
a crear automáticamente dos zonas de búsqueda directa:
La zona _msdcs.<Nombre de dominio Active Directory>: esta zona contiene los diferentes
registros a escala del bosque que permiten a los equipos cliente descubrir los controladores
de dominio de la red, los controladores de dominio que implementan el catálogo global, los
servidores Kerberos para la autenticación o el emulador PDC. Esta zona aporta a su vez
información de geolocalización. Asimismo, un usuario asignado a un sitio Active Directory
remoto no tendrá ningún problema para ubicar los recursos cercanos a su sitio.
La zona que lleva el nombre del dominio Active Directory: esta zona contendrá los registros
de los distintos servicios de red, como la zona _msdcs, así como los registros de los clientes
DNS.
6. Seguridad del servicio DNS
Como puede ver, el servidor DNS es un componente muy importante de una red. Su objetivo es
resolver las solicitudes para proporcionar a los clientes la correspondencia entre nombre de dominio
FQDN y dirección IP. Cada solicitud resuelta se almacena, a continuación, en la caché del servidor
DNS. Por este motivo es importante tener en cuenta la seguridad de su mecanismo para evitar que
un individuo malintencionado contamine el DNS (DNS Cache Poisoning) o intercepte los datos
enviados por un servidor DNS. Para proteger y asegurar un servidor DNS, Microsoft pone a
disposición de los administradores de sistemas las herramientas para securizar la caché y firmar,
mediante criptografía, los registros DNS.
a. Securizar la caché DNS
La caché DNS permite acelerar el tratamiento de peticiones DNS dentro de una red. La securización
por bloqueo de caché DNS es una funcionalidad aparecida con Windows Server 2012. La función de
bloqueo de caché permite prohibir la actualización de un registro ya existente. De esta forma, una
persona malintencionada no podrá modificar un registro de caché para dirigir a los clientes DNS a
un sitio web fraudulento. Para funcionar, esta opción se basa en la duración de un registro
también llamada TTL (Time To Live).
La función de bloqueo de caché permite de esta forma que un registro no sea eliminado antes de
que expire su duración. Es, no obstante, posible ajustar esta opción indicando en qué momento es
posible sobrescribir un registro DNS en caché mediante una actualización. La opción de bloqueo de
caché está configurada de forma predeterminada con un parámetro fijo del 100%. Esto quiere
decir que un registro DNS en caché no puede ser sobrescrito mientras su duración no haya
expirado.
Para conocer los parámetros de bloqueo de caché de un servidor DNS, basta con escribir el
comando PowerShell siguiente: Get-DnsServerCache
El parámetro EnablePollutionProtection: Trueindica que el bloqueo de cache

está activo en el servidor DNS.
El parámetro LockingPercent: 100 indica en qué porcentaje, de la duración del
registro, debe funcionar la característica de bloqueo de caché.
Para configurar el bloqueo de caché DNS, hay que utilizar los comandos PowerShell o DnsCmd
siguientes:
Modificación del porcentaje de bloqueo de caché empleando PowerShell:
Set-DnsServerCache -LockingPercent <Porcentaje> -PassThru
En el ejemplo anterior, se protege contra escritura, los registros de caché hasta que su
duración haya llegado al 60%.
Modificación del porcentaje de bloqueo de caché empleando DnsCmd:
Dnscmd /Config /CacheLockingPercent <Porcentaje>
En el ejemplo anterior, se protege contra escritura, los registros de caché hasta que su
duración haya llegado al 50%.
b. Configurar el grupo de sockets DNS
Para reforzar la seguridad de la caché de un servidor DNS Microsoft ha introducido la función del
grupo de sockets DNS. Esta tecnología permite configurar un servidor DNS para que pueda utilizar
un único puerto aleatorio disponible dentro de un intervalo de puertos y de esta forma realizar
peticiones DNS.
Un socket corresponde a la asociación de una dirección IP y un puerto de comunicaciones. Los

equipos, para comunicarse dentro de la misma red, utilizan sockets que sirven como conectores de
red. El uso de un grupo de sockets permite al servidor DNS obtener un puerto de comunicación
aleatorio dentro de un intervalo de puertos dedicados.
Por defecto, el grupo de sockets está disponible dese la instalación del rol de servidor DNS en
Windows Server 2012 R2. Su tamaño inicial tiene un valor fijo en 2500, pero es posible ajustar
este tamaño modificando el parámetro asociado de 0 a 10000. La configuración del grupo de
sockets DNS contiene también una lista de exclusión que comprende un intervalo de puertos
fuente que no se utilizarán.
Los parámetros vinculados al grupo de sockets DNS son los siguientes:
SocketPoolSize
Valor predeterminado: 2500
Valores posibles: 0 a 10000
SocketPoolExcludedPortRanges
Valor predeterminado: Ninguno
Valores posibles: 1 a 65535
Es posible configurar el grupo de sockets DNS empleando herramientas tales como:
DnsCmd
El registro de Windows
Para configurar el grupo de sockets DNS empleando DnsCmd:
Escriba el comando siguiente para verificar los parámetros del grupo de sockets:
dnscmd /Info /SocketPoolSize
Escriba el comando siguiente para configurar el tamaño del grupo de sockets:
dnscmd /Config/SocketPoolSize <Valor>
Escriba el comando siguiente para configurar la lista de exclusión del grupo de sockets:
dnscmd /Config/SocketPoolExcludedPortRange <Valor>
Para configurar el grupo de sockets DNS empleando el registro de Windows:
Ubicación de la configuración asociada al grupo de sockets:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
Cree la clave REG_DWORD: SocketPoolSize
Tipo de clave: Valor DWORD 32 bits
Base: Decimal
Ejemplo de valor: 5600
Cree la clave REG_MULTI_SZ: SocketPoolExcludedPortRanges
Tipo de clave: Valor de cadena múltiple
Ejemplo de valor: 4500-5500
c. Implementar DNSSEC
La seguridad del servicio DNS no se limita solo a su caché. El conjunto de solicitudes enviadas por
un servidor DNS a sus clientes es también vulnerable. Para proteger este flujo de datos, es posible
implementar DNSSEC (Domain Name System Security Extension), un protocolo estandarizado por la
IETF que ha llegado con Windows Server 2012 (esta funcionalidad existía previamente en Microsoft
Windows Server 2008 R2 pero se ha visto mejorada con Windows Server 2012). Esta funcionalidad
aporta un nivel de seguridad adicional permitiendo la firma digital de una zona. Para firmar una
zona DNS, bastará con mostrar el menú contextual de una zona y hacer clic en DNSSEC / Firmar
la zona:
Cuando una zona ha sido firmada por DNSSEC, las peticiones DNS enviadas como respuesta a los
clientes dispondrán de una clave cifrada que certifica que la información proporcionada es correcta
y no se ha visto alterada por una persona malintencionada.
1. Un usuario desea acceder al sitio web http://infonovice.es. El equipo cliente

emite entonces una solicitud destinada a un servidor DNS para recuperar la
dirección IP del sitio Web.
2. El registro para el dominio infonovice.es figura en el servidor DNS en una zona

firmada por DNSSEC. El servidor DNS reenvía entonces la dirección IP solicitada
con la firma digital que garantiza que la dirección IP asociada al nombre de
dominio infonovice.es es correcta.
3. El equipo cliente emplea la clave pública contenida en la firma digital y la

presenta al servidor para descifrar y autenticar la información recibida después
de comparar la clave privada. El usuario puede en adelante acceder al sitio web
http://infonovice.es estando seguro de que accede al sitio web correcto.
Cuando un servidor DNS no cuenta con la autoridad para el registro solicitado esto le lleva a hacer
una búsqueda recursiva para consultar otros servidores DNS, la implementación de DNSSEC
permite garantizar la integridad de los datos recibidos por otros servidores DNS.
Cuando una zona DNS está firmada digitalmente, todos los registros DNS de la zona se firman
automáticamente. Cada registro de recursos del servidor DNS firmado por DNSSEC se verá
completado por un nuevo registro llamado RRSIG (Resource Record SIGnature). Este registro
contendrá la firma asociada al registro DNS original. Si es necesario actualizar un registro ya
firmado por DNSSEC, es imperativo firmar el nuevo registro después de la modificación.
La firma de una zona crea una clave privada en el servidor y luego almacena una clave pública en
cada registro de recurso (como para una infraestructura PKI con una asociación de claves
públicas/privadas). Este proceso permite a su vez, a los clientes, verificar una respuesta recibida
comparando la clave pública con la clave privada del servidor DNS.
Para que un equipo cliente verifique las respuestas aportadas por un servidor DNS hay que
configurar su tabla de resolución de nombres (NRPT, Name Resolution Policy Table). Una tabla NRPT
contiene el conjunto de reglas de gestión que definen la manera en que un equipo cliente debe
validar las respuestas a peticiones DNS. La configuración de este parámetro en el conjunto de los
equipos cliente de un dominio se puede hacer empleando una GPO (Group Policy Object, u objeto
de directiva de grupo).
Por defecto, al firmar una zona, el servidor DNS sobre el que se realiza la operación se convierte
en el maestro de claves. Esto quiere decir que el servidor DNS realizará la gestión de las claves de
cifrado de la zona.
Los equipos cliente que deseen resolver una respuesta de petición DNS firmada deben poseer la
clave pública de la firma digital. Para recuperar esta clave pública, los equipos cliente podrán hacer
una llamada al nuevo registro DNS llamado DNSKEY. Este registro permite publicar la clave pública
necesaria para descifrar un registro firmado.
La clave privada KSK (Key Signing Key) es una clave de autenticación que permite, como su nombre
indica, firmar otras claves encargadas de firmar una zona.
La clave privada ZSK (Zone Signing Key) es una clave de autenticación que permite, como su
nombre indica, firmar los registros de una zona.
Los registros NSEC (Next Secure): cuando un cliente DNS hace una petición para resolver un
nombre de recurso no existente en el dominio, el servidor DNS no puede firmar la respuesta para
un registro inexistente. Por ello, se emplean los registros NSEC, que permiten firmar las
respuestas realizadas para los registros de recursos que no existen. La firma de estas respuestas
sin seguimiento permite certificar a un cliente que el registro de recursos buscado no existe. El
aspecto negativo de este registro, es que permite la enumeración de los dominios padres. Si un
cliente hace una petición a un nombre de dominio no existente, el registro NSEC creado de esta
forma, empleando un registro RRSIG, deja aparecer sistemáticamente el nombre del dominio padre
y así sucesivamente. Esto puede causar un fallo de seguridad cuando no deseamos que un cliente
pueda enumerar la totalidad de los dominios de una infraestructura. Por este motivo se han
creado los registros NSEC3, con el fin de corregir este fallo de seguridad.
Los registros NSEC3 (Next Secure 3) permiten, al igual que los registros NSEC, firmar las
respuestas de registro no existentes en la zona DNS. La diferencia estriba en el hecho de que este
registro no permite numerar los dominios padre mediante un sistema de cifrado que permite
presentar al cliente solo una parte de la información solicitada.
Para que una infraestructura DNSSEC esté operativa, es necesario que un servidor establezca
relaciones de confianza con el conjunto de servidores DNS que la componen. Para ello, empleamos
un procedimiento llamado Anclaje de veracidad (Trust Anchor). Un anclaje de veracidad define los
servidores o entidades aprobados empleando un registro DNS del tipo DNSKEY o DS que indica
dónde se encuentra la clave pública. Los anclajes de veracidad se guardan en las zonas
especiales, almacenadas en el archivo de configuración TrustAnchors.dns. Los anclajes de
veracidad pueden crearse en la carpeta Puntos de confianza del árbol de la consola DNS.
7. Administración del servicio DNS mediante Windows PowerShell

La consola gráfica permite administrar la mayoría de las funciones de DNS. Esta gestión manual
puede resultar muy engorrosa en grandes infraestructuras. Para facilitar ciertas tareas de
administración, es posible utilizar PowerShell v4 para gestionar las funcionalidades del servicio DNS
(siempre es posible administrar un servidor DNS empleando comandos DnsCmd).
Mostrar los parámetros de configuración del servidor DNS:
Get-DnsServer
Crear una zona de búsqueda directa integrada en Active Directory:
Replicada en el conjunto de controladores de dominio del bosque:
Add-DnsServerPrimaryZone -Name <Nombre de la zona> -ReplicationScope

Forest
Replicada en el conjunto de controladores de dominio del dominio:
Add-DnsServerPrimaryZone -Name <Nombre de la zona> -ReplicationScope

Domain
Crear una zona de búsqueda inversa:
Add-DnsServerPrimaryZone 0.168.192.in-addr.arpa -ZoneFile

0.168.192.in-addr.arpa.dns
Servicio DHCP
DHCP (Dynamic Host Configuration Protocol) es un protocolo de red encargado de distribuir las
direcciones IP a los clientes que lo solicitan. Se presenta como un rol de servidor que proporciona un
servicio importante en el núcleo de una infraestructura informática basado en el protocolo Ipv4
(DHCPv4) o (DHCPv6).
1. Presentación del servicio DHCP

Cuando se instala un equipo en una red, éste no posee una dirección IP por defecto para
comunicarse. La tarjeta de red se configura en modo dinámico para recibir automáticamente una
configuración de red mediante un servidor dedicado a la distribución de direcciones IP (servidor
DHCP). El rol de un servidor DHCP es el de distribuir la dirección de red adecuada para que los
clientes que lo soliciten puedan comunicarse. Generalmente, un servidor DHCP proporciona los
elementos de configuración de red tales como la dirección IP, la puerta de enlace predeterminada, la
máscara de subred, el sufijo DNS del dominio, la dirección IP de los servidores WINS y DNS.
Si un puesto cliente no está configurado de forma dinámica, habrá que configurar manualmente la
dirección IP así como las distintas opciones de configuración de red que le permiten comunicarse.
Esta operación manual permite configurar una dirección IP en modo estático. Si opta por emplear
direcciones IP estáticas para el conjunto de sus equipos, las acciones repetitivas y manuales de la
configuración de las tarjetas de red son susceptibles de generar errores humanos. La
implementación de un servidor DHCP dentro de una red permite centralizar la configuración IP y, de
esta manera, limitar los riesgos debidos a errores de configuración. Mediante esta herramienta de
administración será posible difundir automáticamente los cambios de configuración de red al
implementar actualizaciones al conjunto de los equipos cliente.
Los clientes DHCP pueden ser de diferentes tipos. Todo periférico susceptible de comunicarse a
través de una red es un cliente potencial de DHCP. Los principales dispositivos DHCP que lo emplean
con mayor frecuencia son: un smartphone (Wi-Fi), una impresora (Ethernet o Wi-Fi), una televisión
conectada (Ethernet o Wi-Fi), un ordenador (Ethernet o Wi-Fi), una consola de videojuegos
(Ethernet o Wi-Fi), un servidor, etc. Los sistemas operativos integran un cliente DHCP, versión 4 o 6
(el cliente DHCPv6 está incluido a partir de Windows Vista), para poder contactar con un servidor
DHCP.
El rol de servidor DHCP (disponible en una instalación completa de Windows o en un servidor Core)
puede implementarse en un servidor independiente del dominio (Standalone), en un servidor
miembro de un dominio, o en un controlador de dominio. Sin embargo, un servidor DHCP instalado
dentro de un dominio, Active Directory o no, debe estar autorizado antes de poder distribuir
direcciones IP en un dominio. Si un administrador olvida autorizar un servidor DHCP, no podrá
distribuir las direcciones IP dentro de un dominio Active Directory.
2. Administración del servidor DHCP

Durante la instalación del rol Servidor DHCP, se crea un servicio Windows llamado Servidor
DHCPcon arranque automático. Este servicio se encargará de distribuir a los clientes su
configuración de red.
La instalación del rol DHCP se realiza en la siguiente carpeta de

sistema:%SYSTEMROOT%\System32\dhcp\
La base de datos del servidor DHCP situada en la siguiente

ubicación:%SYSTEMROOT%\System32\dhcp\dhcp.mdb
Los registros del servidor DHCP tienen la extensión *.log.
El archivo j50.log es un archivo que contiene el registro de transacciones.
El archivo j50.chk es un archivo de control que funciona con el registro de

transaccionesj50.log.
El archivo tmp.edb es un archivo que almacena los datos temporales.
La carpeta de copia de seguridad de los archivos de la configuración de DHCP se

llamaBackup.
El proceso de instalación del rol de servidor copiará a su vez el complemento llamado DHCP,
disponible en las herramientas administrativas o una nueva MMC. También es posible instalar estas
consolas en un servidor que no cuente con el componente DNS, o en un puesto cliente como
Windows 8.1 instalando las herramientas de administración RSAT (Remote Server Administration
Tools). Para llamar a esta consola, también podemos escribir el comando dhcpmgmt.msc.
Es posible, también, hacer clic en el botón DHCP de la pantalla de inicio de Windows Server 2012
R2:
Es posible administrar un servidor DHCP mediante la consola gráfica (MMC) o por línea de comandos
Netsh o PowerShell.
3. Funcionamiento del servicio DHCP

Las direcciones IP proporcionadas por un servidor DHCP se asignan durante una duración limitada
llamada concesión (Lease Time). Al igual que un contrato de alquiler de un apartamento, una
concesión corresponde a la duración que permite a un cliente conservar la dirección IP asignada. De
manera predeterminada, una concesión está configurada para una duración de 8 días. Si un equipo
itinerante obtiene una dirección IP y no vuelve a conectarse a la red hasta la expiración de la
concesión, la dirección IP asignada podrá redistribuirse a otro equipo.
Cuando una concesión alcance el 50% de su duración, el cliente DHCP hará una solicitud de
renovación automática. La concesión se renueva, además, al reiniciar el sistema operativo de
manera predeterminada. Por consiguiente, un cliente DHCP que se mantiene conectado a la red está
seguro de conservar la misma dirección IP.
Un servidor DHCP está configurado para escuchar las peticiones de cliente en el puerto 67.
a. Principio de asignación de una dirección IP IPv4
Para obtener una dirección IP, un equipo cliente que utilice el protocolo de red IPv4 efectuará las
siguientes acciones:
1. El equipo cliente envía una solicitud de difusión (Broadcast) con destino a un
servidor DHCP disponible en la red (en el puerto 67 del servidor DHCP). El
mensaje enviado contiene la dirección MAC del equipo solicitante. Esta petición
se llama DHCP-DISCOVER (descubrimiento) y, como su nombre indica, tiene
como objetivo descubrir los servidores DHCP en una red.
2. Los servidores DHCP (cuyo rango de direcciones IP les permite distribuir

direcciones en la red) que hayan recibido el mensaje responden del mismo modo
empleando una petición de difusión (en el puerto 68 del equipo cliente). La
respuesta enviada contiene la dirección MAC del equipo cliente solicitante, la
dirección IP del servidor DHCP, así como una dirección IP y una máscara de
subred propuestas al cliente. Solo el equipo cuya dirección MAC se encuentra en
esta petición responderá. Esta respuesta se llama DHCP-OFFER (oferta) y, como
su nombre indica, tiene como objetivo ofrecer una configuración IP al equipo
cliente solicitante.
3. El equipo cliente recibe todas las peticiones entrantes y, a continuación,

responde enviando una nueva petición de difusión. Esta petición contiene la
dirección IP del servidor DHCP que haya respondido primero, así como la
configuración IP propuesta. Esta petición se llama DHCP-REQUEST (solicitud), y
tiene como objetivo configurar la información de configuración propuesta y
aceptar la concesión. Los otros servidores DHCP que intercepten esta petición
comprenderán que no está dirigida a ellos si su dirección IP no se encuentra en
el contenido del mensaje.
4. El servidor DHCP seleccionado responde al equipo cliente con un datagrama de

acuse de recibo. Contiene la información de configuración de red además de la
concesión asignada. En este punto, el servidor DHCP escribe la información de la
concesión en su base de datos para no volver a proporcionar la dirección IP
distribuida. Este datagrama se llama DHCP-ACK (ACKnowledgement of Receipt,
acuse de recibo). El equipo cliente podrá en adelante comunicarse en la red.
Un cliente DHCP Windows registrará por defecto su nombre de host en el servidor DNS asociado a
su configuración IP y el servidor DHCP registrará el PTR (Pointer Records, registro de puntero) del
equipo cliente en el servidor DNS. Cada cliente Windows tendrá en las propiedades de la conexión
de red, un parámetro que indica que el cliente es responsable de registrarse en el servidor DNS.
Cuando la concesión asignada expira, el servidor DNS no borra automáticamente el registro DNS
asociado al equipo cliente. Se puede configurar un servidor DHCP para que gestione el registro de
los nombres de host y los PTR así como la eliminación de los registros DNS cuando las concesiones
han caducado. Bastará con añadir la opción 081 en la configuración del servidor DHCP para que
este último pueda registrar los nombres de host A y los registros PTR.
b. Principio de asignación de una dirección IP en IPv6
Todas las tarjetas de red cliente emplean de forma predeterminada el protocolo de red IPv6,
configurando una dirección local llamada Link local. Esta dirección, equivalente a las direcciones
APIPA en el protocolo IPv4, permite comunicar con otros equipos ubicados en la misma red local.
Esta dirección de enlace local no es direccionable desde el exterior de la red.
Con la aparición del protocolo IPv6, las peticiones de difusión ya no se utilizan, dando paso a otros
mecanismos de descubrimiento en la red. A diferencia del protocolo IPv4 que emplea las peticiones
de descubrimiento para localizar un servidor DHCP, el protocolo IPv6 puede llamar a otro protocolo
de red como NDP (Neighbor Discovery Protocol, protocolo de descubrimiento de vecinos). Este
protocolo será el encargado de localizar los diferentes hosts de la red local, en particular los
routers.
Un servidor DHCP ya no es un componente indispensable para que un cliente que emplee el

protocolo IPv6 pueda comunicarse. Se trata ahora de un proceso de autoconfiguración.
Un servidor DHCPv6 tiene en cuenta dos tipos de proceso de autoconfiguración en Windows

Server 2012.
La autoconfiguración con estado (Stateful Configuration):

En este modo, el servidor DHCPv6 se encargará de proporcionar a los clientes que realicen
una solicitud toda la información de configuración de las interfaces de red (dirección IPv6,
máscara de subred, servidores DNS, puerta de enlace, etc.).
La autoconfiguración sin estado (Stateless Configuration):

En este modo, el servidor DHCPv6 se encargará solamente de distribuir las opciones de
configuración suplementarias a los clientes DHCPv6, y no las direcciones IP y la información
de direccionamiento. Los clientes DHCPv6 contactarán con un router compatible IPv6 para
recuperar el ID de red, la máscara de subred y la puerta de enlace. Estos elementos
distribuidos por el router permitirán al equipo cliente DHCPv6 construir los 64 primeros bits
de la dirección IPv6. Para configurar y generar automáticamente los 64 bits restantes de la
dirección IPv6 el cliente utilizará un algoritmo basado en la dirección MAC.
Por defecto, un equipo cliente que utilice el protocolo IPv6 empezará configurando su interfaz de
red sin estado (Stateless mode) y tratará de contactar con un router. Si no hay ningún router que
proporcione información de comunicación de red IPv6, la interfaz de red procederá entonces a
realizar una autoconfiguración con estado (Stateful mode) conectando con un servidor DHCPv6.
Un servidor DHCPv6 puede, también, proporcionar direcciones IP globales. Estas direcciones

globales están consideradas como direcciones IP públicas en IPv4.
Para distribuir este tipo de dirección IP hay que comprar un bloque de direcciones IPv6 a través de
un organismo regional o de registro Internet.
4. Opciones de configuración del servicio DHCP

Durante la instalación del servicio DHCP en un servidor, éste ofrece la configuración de un ámbito
para los protocolos IPv4 y IPv6:
Para cada protocolo es posible configurar las siguientes opciones:
Los ámbitos DHCP: esta opción de configuración permite crear un rango de direcciones IP
asociado a una subred. Cada equipo que realice una petición de dirección IP dinámica recibirá
una dirección perteneciente al ámbito configurado. Un ámbito se define mediante un nombre,
una descripción, un rango de direcciones IP a distribuir y una subred. Un ámbito puede,
también, definir un rango de direcciones IP excluidas del rango a distribuir a los clientes, una
duración de concesión, al igual que las opciones DHCP. Un único servidor DHCP puede poseer
varios ámbitos, pero el servidor DHCP debe estar conectado a cada subred y disponer de un
agente de retransmisión DHCP instalado para poder acceder a las demás subredes. Un
ámbito DHCP permite centralizar los parámetros de configuración de red de un equipo cliente.
Para crear un nuevo ámbito hay que hacer clic con el botón derecho en el protocolo a
configurar y, a continuación, en el menú contextual hacer clic en Ámbito nuevo...:
Un ámbito DHCP posee las siguientes opciones de configuración:
Conjunto de direcciones: el conjunto de direcciones indica el rango de direcciones disponibles

para el ámbito DHCP seleccionado. Este grupo se caracteriza por una Dirección IP inicial y
una Dirección IP final. Cada equipo cliente que solicita una dirección IP dinámica podrá
obtener una IP incluida en este rango de direcciones:
Concesiones de direcciones: las concesiones indican la lista de equipos cliente que han
obtenido una dirección IP. En esta vista, será también posible ver el detalle de cada
concesión concedida, como la dirección IP asignada, el nombre del equipo cliente y la fecha de
expiración.
Reservas: la reserva permite asignar siempre a un cliente la misma dirección IP. Para ver un
ejemplo concreto de este uso específico, permite a un cliente albergar un servicio como un
sitio web, accesible permanentemente en la misma IP. Por lo tanto, si el servicio es accesible
desde el exterior, no habrá ningún problema para hacer una traducción de puertos (NAT) en
el firewall. Para realizar una reserva de dirección IP debemos indicar la dirección IP a reservar
así como la dirección MAC del equipo cliente al que se le asignará.
Opciones de ámbito: las opciones de ámbito permiten indicar la información de configuración

de red que un equipo cliente podrá obtener. Por defecto, los clientes DHCP obtienen las
siguientes opciones de ámbito: Enrutador, Servidores DNS y Nombre de Dominio DNS:
Para agregar nuevas opciones al ámbito, bastará con hacer clic con el botón derecho
enOpciones de ámbito y, a continuación, hacer clic en Configurar opciones....
Directivas: las directivas permiten asignar una dirección IP a un equipo cliente en función de
ciertos criterios tales como su dirección MAC, su clase de proveedor o usuario, su identificador
o información de agente de retransmisión:
Si la directiva cumple el conjunto de condiciones, el equipo cliente podrá obtener una

dirección IP.
Existen sin embargo otros dos tipos de ámbito:
Los superámbitos: permiten agrupar dos o más ámbitos existentes en servidor DHCP dentro
del mismo nombre. Un superámbito agrupa, en este caso, una colección de ámbitos del
servidor DHCP.
Los ámbitos de multidifusión: este ámbito comprende un rango de direcciones IP de

multidifusión (Multicast), es decir de clase D del tipo 224.0.0.0 a 239.255.255.255
(224.0.0.0/4). Las aplicaciones que necesitan una dirección IP de este ámbito deben ser
compatibles con multicast mediante la API MADCAP (por ejemplo: WDS (Windows Deployment
Services) es compatible con Multicast).
Por defecto, la concesión asignada a un puesto cliente multidifusión es de 30 días.
Las Opciones del servidor: además de asignar una dirección IP a un cliente, el servidor DHCP
permite distribuir varios parámetros de configuración de red tales como la puerta de enlace
predeterminada, la IP del servidor DNS, el sufijo DNS del dominio, los servidores WINS, etc. Es
posible asignar los parámetros a todos los ámbitos o únicamente a los ámbitos especificados
mediante filtros. También es posible utilizar filtros para aplicar parámetros a los clientes que
tengan reservas de direcciones IP específicas.
Los Filtros: permiten autorizar o denegar la atribución de una dirección IP a un equipo cliente
en función de su dirección MAC. Si los filtros por dirección MAC están activos dentro del
servidor DHCP, solo los equipos cuyas direcciones MAC figuren en la lista de los clientes
autorizados podrán utilizar los servicios ofrecidos por el servidor DHCP.
El servicio DHCP en Microsoft Windows Server 2012 R2 ofrece las siguientes funcionalidades
aparecidas con Windows Server 2012:
La Protección de nombres: permite proteger los registros DNS de los clientes DHCP. En la
práctica, un equipo cliente no Windows puede registrar su nombre de host en un servidor
DNS no seguro. Si el nombre ya existe, se sobrescribe con la nueva información. Para evitarlo,
la función de protección de nombres puede funcionar de forma tal que sea el servidor DHCP
quien realice los registros A y PTR de los clientes DHCP. Si el nombre de host ya existe en el
servidor DNS seguro, la actualización no tendrá lugar.
Para hacer funcionar la opción Protección de nombres, el servidor DHCP utiliza un registro
llamado DHCID (Dynamic Host Configuration IDentifier). Este registro adicional contiene la
información de un host que haya hecho una solicitud de dirección IP antes de que el servidor
DHCP se haya registrado en el servidor DNS. Cuando se hace una nueva solicitud de dirección
IP, el servidor DHCP interroga al servidor DNS para saber si el registro DHCID se corresponde
con un nombre ya registrado. Si el nombre de host existe, el servidor DHCP puede
rápidamente identificar si se trata de la máquina original que creó el DHCID o no. Si no fuera
el caso, el registro DNS no se sobrescribirá. La protección de nombres DHCP es válida para
los protocolos IPv4 e IPv6. Este último puede activarse a nivel del nodo del protocolo
correspondiente en la consola DHCP o a nivel de un ámbito.
Para que la función de Protección de nombres funcione, hace falta que la actualización
dinámica esté habilitada en el servidor DNS.
Los Ámbitos divididos (Split-mode): permiten dividir un ámbito DHCP para que sea
gestionado por dos servidores DHCP diferentes. Para hacer esto, el servidor DHCP sobre el
que ejecutamos la operación conservará el ámbito a gestionar y, a continuación, creará un
ámbito de exclusión con las direcciones IP que gestionará el segundo servidor DHCP. En el
segundo servidor DHCP, el ámbito principal se configurará como ámbito de exclusión y el
ámbito previamente excluido se configurará como un ámbito gestionado por el segundo
servidor DHCP. Esta función tiene como objetivo aumentar la tolerancia a fallos.
5. Administración del servicio DHCP mediante Windows PowerShell

En las anteriores versiones de Windows Server, los administradores empleaban las líneas de
comandos netsh para administrar un servidor DHCP. A partir de Windows Server 2012 es posible
gestionar un servidor DHCP empleando las 105 líneas de comandos Windows PowerShell. Con la
llegada de Windows Server 2012 R2, Microsoft ha agregado o mejorado cerca de una veintena de
comandos adicionales.
Para obtener más información visite el sitio: http://technet.microsoft.com/en-

us/library/jj590751.aspx
6. Alta disponibilidad del servicio DHCP

Si el servidor DHCP de una infraestructura de red no responde, ningún equipo cliente DHCP nuevo
podrá recibir una dirección IP para comunicarse. Los equipos cliente que ya cuenten con una
concesión no la podrán renovar. Por ello resulta útil implementar una solución de alta disponibilidad
en un servidor DHCP. La opción de conmutación por error del servicio DHCP en caso de error es una
nueva característica de Windows Server 2012.
En Windows Server 2012 R2, la alta disponibilidad del servidor DHCP funciona con dos servidores
DHCP que sincronizarán sus concesiones de direcciones IP. Esta funcionalidad de conmutación
automática solo funciona con el protocolo IPv4.
La funcionalidad de conmutación automática por error del servicio DHCP es sensible a la

sincronización horaria. Para que el proceso de sincronización funcione, los dos servidores DHCP
no deben tener más de un minuto de desfase en su configuración horaria.
La función de conmutación automática por error puede funcionar en dos modos de configuración
diferentes: Espera activa y Equilibrio de carga.
El modo Espera activa: en este modo, es el primer servidor DHCP quien distribuye las
direcciones IP a los clientes mientras que el segundo servidor solo interviene si el primer
servidor deja de responder. El primer servidor DHCP tiene en cuenta la distribución del 95%
de las direcciones IP presentes en el ámbito y el segundo toma el 5% restante.
Cuando el primer servidor no responde, el servidor secundario se hace cargo para entregar
las direcciones IP en el grupo de direcciones IP 5% a su cargo. Cuando se termina el 5% de
las direcciones del grupo de direcciones IP, el segundo servidor gestiona entonces el 100%
del grupo de direcciones. Por defecto, si el servidor DHCP principal está fuera de línea más de
una hora, el segundo servidor DHCP toma el control del rango completo de direcciones IP. Es
posible modificar este valor predeterminado modificando la opción Plazo máximo para
clientes o MCLT (Maximum Client Lead Time).
El modo Equilibrio de carga: en este modo, los servidores DHCP configurados garantizan
cada uno el 50% de la distribución de las direcciones del ámbito. Cuando uno de los
servidores falla, el servidor DHCP restante proporciona el 100% de la distribución de las
direcciones IP del ámbito. Se puede ajustar el porcentaje de gestión de las IP en los dos
servidores (por ejemplo un 80% para el primer servidor DHCP y un 20% para el segundo).
En una infraestructura DHCP con alta disponibilidad, el servicio empleará el puerto TCP 647 para
escuchar el tráfico proveniente del segundo servidor. Al activar esta funcionalidad, el servicio DHCP
creará automáticamente dos reglas de entrada/salida en el firewall para autorizar la escucha en los
puertos TCP.
Para implementar esta funcionalidad, bastará con hacer clic con el botón derecho en el ámbito a
cubrir y, a continuación, hacer clic en Configurar conmutación por error. Por último, será necesario
asignar un servidor asociado para la sincronización de las concesiones de direcciones IP:
7. Copia de seguridad y restauración del servicio DHCP

El rol DHCP posee dos tipos de copia de seguridad: manual o automática.
El conjunto de la configuración del servidor DHCP se copiará durante el tiempo de ejecución del
mecanismo de copia de seguridad (las concesiones, los ámbitos, etc.).
Las copias de seguridad de la configuración DHCP se almacenan de forma predeterminada en la

carpeta %SYSTEMROOT%\System32\dhcp\backup.
Es importante no olvidar, en una estrategia de copia de seguridad de un servidor, seleccionar la

carpeta de instalación de DHCP para poder efectuar una restauración en caso de fallo.
a. Copia de seguridad automática
Esta última está planificada cada 60 minutos. En función de las necesidades de una
infraestructura, es también posible modificar la planificación por defecto modificando la clave del
registro siguiente:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\
Parameters\BackupInterval
Cada nueva copia de seguridad automática sobrescribe sistemáticamente la anterior.
b. Copia de seguridad manual
La copia de seguridad manual se realiza empleando la consola de administración MMC (Microsoft

Management Console) de DHCP seleccionando el servidor a copiar y, a continuación, haciendo clic en
el menú Acción y en Copia de seguridad.
Deberá tener precaución y no guardar nunca la configuración de DHCP mediante una copia de
seguridad manual en la carpeta de backup por defecto, con el riesgo de ver su copia sobrescrita
por la planificación automática.
c. Restauración
La restauración de la configuración de un servidor DHCP se realiza empleando el archivo de base

de datos dhcp.mdb previamente guardado. En la consola de administración MMC, bastará con
hacer clic en el menú Acción y, a continuación, en Restaurar.
Una vez restaurada la base de datos el administrador recuperará la configuración de sus ámbitos y
otras opciones de su servidor DHCP tal y como se había guardado antes del accidente.
IPAM
Un administrador de sistemas y redes debe manejar y conocer sus equipos como la palma de su mano. Para hacer esto,
empleará diferentes herramientas que le permitirán inventariar y gestionar su red, su parque de hardware y su software.
La gestión de direcciones IP empleando IPAM (IP Address Management) es una nueva característica de servidor integrada a
partir de Microsoft Windows Server 2012.
1. Presentación del servidor IPAM

IPAM es una característica que permite inventariar y gestionar las direcciones IP utilizadas en su infraestructura de red
(compatible con IPv4 e IPv6). IPAM permite a su vez gestionar los roles de servidores DNS y DHCP desde una única consola
de administración. Gracias a este componente, será más fácil gestionar grandes arquitecturas de red, ya que IPAM aporta
soluciones para las siguientes necesidades:
Realizar un inventario automático de los servicios de red.
Recopilar información sobre los controladores de dominio.
Centralizar la gestión de los servicios de red DNS, DHCP, NPS (Network Policy Server) y Active
Directory.
Supervisar el uso y la asignación de direcciones IP.
Generar informes personalizados sobre la utilización de los recursos.
Realizar auditorías sobre los cambios en la configuración.
Un servidor de gestión de direcciones IPAM puede implementarse de tres formas diferentes:
Distribuido: un servidor IPAM en cada sitio del bosque Active Directory.
Centralizado: un servidor IPAM para la totalidad del bosque Active Directory.
Híbrido: un servidor IPAM centralizado y servidores IPAM distribuidos en cada sitio del
bosque Active Directory.
Un servidor IPAM posee las siguientes características:
Gestión de un único bosque Active Directory.
Gestión de 150 servidores DHCP con 6000 ámbitos configurados.
Gestión de 500 servidores DNS con 150 zonas configuradas.
Gestión de direcciones IPv4 e IPv6.
La base de datos IPAM debe purgarse manualmente porque no existen parámetros para
configurar una limpieza automática.
2. Administración del servidor IPAM

Después de la instalación de la funcionalidad de servidor de administración de direcciones IP (IPAM), aparece una nueva
pestaña IPAM en el panel de la consola Administrador del servidor:
IPAM puede gestionarse mediante la interfaz gráfica del Administrador del servidor o por línea de comandos Windows
PowerShell. Con Windows Server 2012 R2, Microsoft ha agregado 55 nuevos comandos PowerShell para mejorar la gestión y
administración de un servidor IPAM.
Para obtener más información puede consultar el vínculo siguiente:http://technet.microsoft.com/library/jj553807.aspx
La instalación de la funcionalidad de servidor (IPAM) se hace en la carpeta de sistema

siguiente:%SYSTEMROOT%\System32\ipam\
La carpeta de almacenamiento de los registros de auditoría está situada en la siguiente

ubicación: %SYSTEMROOT%\System32\ipam\Auditlogs
La carpeta de almacenamiento de la base de datos está situada en la siguiente

ubicación:%SYSTEMROOT%\System32\ipam\Database
La base de datos IPAM está almacenada bajo el nombre ipam.mdf, acompañada del archivo de
registro de transacciones llamado ipam_log.ldf.
El proceso de instalación de IPAM creará automáticamente las reglas de firewall para autorizar al servidor IPAM a
comunicarse con los clientes empleando el puerto de comunicaciones 48885. Para ello, se crearán en el firewall las dos reglas
siguientes:
Regla de firewall para tráfico entrante: Servidor IPAM (TCP de entrada)
Regla de firewall para tráfico saliente: Servidor IPAM (TCP de salida)
El proceso de instalación de IPAM creará también los elementos siguientes:
Las GPO para configurar los servicios DNS, DHCP y NPS:

Los grupos de seguridad para la gestión de IPAM (creados localmente en el servidor IPAM):
3. Instalar y configurar la gestión de direcciones IPAM

La instalación de un servidor de administración de direcciones IP necesita sin embargo los siguientes requisitos previos:
IPAM necesita un servidor dedicado que no debe ser controlador de dominio.
El servidor seleccionado debe ser miembro del dominio infonovice.priv.
Necesita al menos un procesador de doble núcleo a 2 GHz.
Se necesitan al menos 4 GB de RAM (Random Access Memory).
Necesita al menos 80 GB de espacio en disco.
El servidor IPAM debe ser miembro de un dominio (pero no controlador de dominio).
Se debe utilizar solamente una cuenta de administración del dominio (y no una cuenta local).
Es posible instalar IPAM en un sistema operativo Windows Server 2008 o 2008 R2 siempre que se cumplan los siguientes
requisitos previos:
Instalación del Service Pack 2.
Instalación del componente .NET Framework 3.0 Beta y 4.0 Full.
Instalación del paquete Windows Management Framework Core.
WinRM (Windows Remote Management) debe estar activado.
Instalar la funcionalidad de servidor IPAM
Paso 1: abra una sesión en el servidor IPAM-01 y abra la consola Administrador del servidor.
Paso 2: haga clic en Agregar roles y características y agregue la característica de

servidorServidor de administración de direcciones IP (IPAM), a continuación haga clic
en Siguiente:
Paso 3: haga clic en Instalar.
Paso 4: haga clic en Cerrar al terminar la instalación de IPAM.
Paso 5: en la consola Administrador del servidor, en el panel derecho, haga clic en la

secciónIPAM.
Paso 6: haga clic en Aprovisionar el servidor IPAM:
Paso 7: en la ventana Aprovisionar IPAM, haga clic en Siguiente.
Paso 8: seleccione el método de aprovisionamiento Basado en la directiva de grupo, escriba el

prefijo GPO-IPAM y haga clic en Siguiente:
Paso 9: verifique los parámetros de configuración y, a continuación, haga clic en Aplicar:
Paso 10: haga clic en Cerrar cuando el aprovisionamiento se haya efectuado correctamente.
Paso 11: en la consola Administrador del servidor, en la vista general del servidor IPAM, haga
clic en Configurar detección de servidores:
Paso 12: haga clic en el botón Agregar para agregar el dominio infonovice.priv en la lista de
dominios a descubrir.
Paso 13: verifique que los servicios Controlador de dominio, Servidor DHCP y Servidor
DNSestán correctamente marcados y, a continuación, haga clic en Aceptar.
clic en Iniciar detección de servidores:
Paso 15: una banda amarilla aparece durante la ejecución del descubrimiento de servidores.
Haga clic en Más para ver el detalle de la tarea, a continuación cierre la ventana de detalle
cuando la etapa indique que el descubrimiento de servidores se ha Completado.
clic en Seleccionar o agregar servidores para administrar y comprobar el acceso de IPAM.
Paso 17: los servidores descubiertos anteriormente aparecen en la sección INVENTARIO DE

SERVIDOR con un Estado de acceso IPAM Bloqueado y un Estado de manejabilidad Sin
especificar.
Paso 18: abra un símbolo del sistema PowerShell en el servidor IPAM como administrador y, a
continuación, escriba el siguiente comando:
Invoke-IpamGpoProvisioning -Domain infonovice.priv -GpoPrefixName GPO-IPAM -IpamServerFqdn IPAM-01.infonovice.priv
A continuación, valide escribiendo: s

Esta acción tendrá como resultado crear las GPO del grupo en el dominio infonovice.priv.
Paso 19: abra una sesión en el controlador de dominio DC-01, abra la consola de
Administración de directivas de grupo. En el árbol de consola, deberá ver aparecer las tres GPO
siguientes en la raíz del dominio:
GPO-IPAM_DC_NPS
GPO-IPAM_DHCP
GPO-IPAM_DNS
Paso 20: abra una sesión en el servidor IPAM-01 para navegar en la consola Administrador del
servidor IPAM y, a continuación, INVENTARIO DE SERVIDOR. Haga clic con el botón derecho
en el servidor DC-01 y, a continuación, haga clic en Editar servidor....
Paso 21: en la sección Estado de capacidad de administración, seleccione Administrado y

haga clic en Aceptar.
Repita las operaciones 20-21 en el servidor DC-02.
Paso 22: cambie al servidor DC-01, abra un símbolo del sistema DOS como administrador y
escriba gpupdate /force.
Paso 23: cambie al servidor DC-02, abra un símbolo del sistema DOS como administrador y
escriba gpupdate /force.
Las etapas 22 y 23 tienen como objetivo aplicar las directivas de grupo creadas previamente.
Paso 24: seleccione un servidor, haga clic con el botón derecho y haga clic en Actualizar el
estado de acceso del servidor. Repita la operación en el segundo servidor y pulse a
continuación la tecla [F5] para actualizar la vista. Deberá ver aparecer los dos servidores con un
estado Desbloqueado:
clic en Iniciar detección de servidores:
Su servidor IPAM está en adelante instalado y listo para ser utilizado para la gestión de direcciones IP de los diferentes
servicios de red DHCP y DNS de su empresa.
4. Administración del espacio de direcciones IP

El espacio de direcciones IP permite realizar un inventario y gestionar las direcciones IP de una red empresarial. Es, de este
modo, posible tener un control global de una infraestructura de red compleja.
La sección Bloques de direcciones IP permite identificar los ámbitos creados en los servidores DHCP gestionados por IPAM.
Esta vista permite visualizar directamente el número de direcciones IP disponibles en cada ámbito, su tasa de utilización así
como el rango de direcciones IP cubierto. Un bloque de direcciones IP comprende un ámbito DHCP que contiene sus
direcciones IP. Cuando seleccionamos un bloque de direcciones IP es posible personalizar su visualización según varias
vistas.
a. Intervalos de direcciones IP
Esta vista permite visualizar los intervalos de direcciones IP que representan los ámbitos configurados en los servidores
DHCP:
Aquí recuperamos el detalle del intervalo de direcciones IP disponible con la dirección IP inicial y la dirección IP final, el
servidor DHCP a cargo de la gestión del ámbito, así como las estadísticas de uso y asignación de las direcciones IP
disponibles en los intervalos de direcciones IP. La asignación de direcciones IP está representada bajo la forma de un
porcentaje de uso del intervalo de direcciones disponible.
A partir de esta vista, podemos crear ámbitos DHCP haciendo clic en TAREAS y, a continuación, enAgregar intervalo de
direcciones IP:
Habrá que introducir los diferentes atributos que constituyen un ámbito:

Detalle de los campos principales:
Identidad de red (Id de red): corresponde a la dirección de red.
Longitud del prefijo: corresponde a la clase de IP.
Máscara de subred: calculada automáticamente en función de la longitud de prefijo.
Dirección IP inicial: corresponde a la primera dirección IP disponible en el intervalo del

ámbito.
Dirección IP final: corresponde a la última dirección IP disponible en el intervalo del ámbito.
Administrado por servicio: define el tipo de servicio encargado de gestionar el ámbito.

Puede tratarse del mismo servidor IPAM o un servidor DHCP.
Instancia de servicio: representa el servidor que gestiona el servicio.
Tipo de asignación: define si la asignación de las direcciones será estática, dinámica o

reservada a un host.
Cálculo de uso: define si las estadísticas de uso del ámbito se calcularán automáticamente
o manualmente por el administrador.
b. Direcciones IP
Esta vista permite visualizar las direcciones IP creadas manualmente o importadas desde un archivo Excel, de cara a
confeccionar un inventario de las direcciones IP utilizadas en la red empresarial.
Es posible crear una dirección IP para inventariar haciendo clic en TAREAS y, a continuación,Agregar dirección IP:
c. Bloques de direcciones IP
Esta vista permite visualizar los diferentes bloques de direcciones IP creados que corresponden a los ámbitos gestionados
en un dominio público o privado.
Es posible crear un bloque de direcciones IP haciendo clic en TAREAS y, a continuación, enAgregar bloque de direcciones
IP:
5. Supervisar y administrar IPAM
Esta sección de IPAM permite supervisar y configurar los servicios de red como DHCP o DNS. Existen varias vistas que
permiten tener acceso rápidamente a los diferentes elementos de configuración.
a. Servidores DNS y DHCP
En esta vista podemos verificar el estado de los servicios DNS y DHCP y acceder a los principales parámetros de
configuración haciendo clic con el botón derecho en cada servidor.
También será posible crear un ámbito DHCP, modificar las opciones de un servidor DHCP o finalmente sus diferentes
propiedades.
Si desplegamos el menú contextual de un servidor DNS será incluso posible arrancar la consola MMC de administración de
un servidor DNS:
b. Ámbitos DHCP
En esta vista podemos visualizar los ámbitos creados en el servidor DHCP. También es posible configurarlos o duplicarlos
para crear un nuevo ámbito, que podremos modificar:
c. Supervisión de zonas DNS
Esta vista permite visualizar el estado de las zonas de búsqueda directa:
d. Grupos de servidores
Igual que con la vista Servidores DHCP y DNS, esta vista permite ver el conjunto de servidores asociados al servicio de red
gestionado por IPAM. Con la diferencia de que es posible, esta vez, crear grupos lógicos que permiten identificar los
servicios por zona geográfica, roles, entidades, o según los criterios definidos por un administrador:
6. Catálogo de eventos
Esta sección agrupa simplemente el registro de eventos de los diferentes cambios de configuración de los servicios de red
empleando IPAM. Esto permite registrar los responsables de las posibles modificaciones de la infraestructura para identificar
rápidamente qué se ha modificado en la configuración y, especialmente quién lo ha modificado:
También es posible realizar un seguimiento de las direcciones IP gracias a los eventos de BAIL. De este modo, será posible
recuperar fácilmente información del tipo: ¿qué usuario ha recibido qué dirección IP y en qué puesto?
Trabajos prácticos
La empresa INFONOVICE desea crear un departamento informático dedicado con un dominio
Active Directory. Para ello, solicita sus servicios para instalar los controladores de dominio y
configurar los principales componentes de red tales como DNS, DNSSEC, DHCP e IPAM.
OXYLIVE es una nueva filial. Los equipos cliente de la empresa INFONOVICE deberán poder
resolver los nombres de equipo que albergan los recursos en el dominio de esta filial.
El servicio DHCP deberá configurarse para cambiar a un servidor DHCP de seguridad en caso de
error.
Para terminar, la empresa INFONOVICE desea implantar un servidor de gestión de direcciones

IP.
IPAM-01: servidor IPAM para el dominio infonovice.priv
CLIENT1: cliente DNS y DHCP
OXYDC-01: controlador de dominio oxylive.local, servidor DNS
Máscara de subred:255.255.255.0
1. Instalar y configurar el servicio DNS

Este taller permite instalar y configurar las principales opciones del rol de servidor DNS. En este punto,
el dominio infonovice.priv todavía no se ha creado.
Instalar el rol de servidor DNS
Paso 1: en el servidor DC-01, abra el Administrador del servidor y haga clic en Agregar roles y
características.

Paso 5: marque la opción correspondiente al rol de Servidor DNS:

Paso 6: haga clic en Agregar características:
Paso 7: haga clic tres veces en Siguiente:

Paso 8: haga clic en Instalar:
Paso 9: haga clic en Cerrar cuando la instalación termine:

Crear zonas de búsqueda DNS
Paso 1: vaya a la pantalla de inicio de Microsoft Windows Server 2012 R2 y haga clic en DNS:
Paso 2: despliegue el árbol de la consola y seleccione Zonas de búsqueda directa:
Paso 3: despliegue el menú contextual y haga clic en Zona nueva…:

Paso 5: seleccione Zona principal y haga clic en Siguiente:
Paso 6: escriba como nombre de zona infonovice.priv y haga clic en Siguiente:

Paso 7: deje las opciones por defecto y haga clic en Siguiente:
Paso 8: marque la opción Permitir todas las actualizaciones dinámicas (seguras y no

seguras)y haga clic en Siguiente:
Paso 10: despliegue el árbol de la consola y seleccione Zonas de búsqueda inversa:

Paso 11: despliegue el menú contextual y haga clic en Zona nueva…:

Paso 14: seleccione Zona de búsqueda inversa para IPv4 y haga clic en Siguiente:
Paso 15: introduzca el ID de red 192.168.0 y haga clic en Siguiente:

Paso 17: marque la opción Permitir todas las actualizaciones dinámicas (seguras y no
seguras) y haga clic en Siguiente:

Llegados a este punto, las zonas de búsqueda directas e inversas para el dominio
infonovice.priv están creadas (en forma de archivo *.dns porque estas zonas no están
integradas en Active Directory). Antes de avanzar al siguiente taller, puede instalar el rol de
servidor AD DS.
Paso 19: agregar el rol de servidor AD DS para crear un nuevo bosque cuyo dominio raíz
seráinfonovice.priv:
Paso 20: marque la opción Crear delegación DNS e indique la información de conexión de la
cuenta Administrador local del servidor:
Complete las siguientes ventanas para poder instalar Active Directory.
Integrar una zona en Active Directory
Paso 1: una vez instalado el dominio Active Directory, vaya a la pantalla de inicio y haga clic
enDNS:
Paso 2: despliegue el árbol para seleccionar la zona de búsqueda directa infonovice.priv:
Paso 3: abra el menú contextual y haga clic en Propiedades:
Paso 4: haga clic en Cambiar:

Paso 5: marque la opción Almacenar la zona en Active Directory y haga clic en Aceptar:
Paso 6: haga clic en Sí:
Paso 7: en las propiedades de la zona, haga clic de nuevo en Cambiar…:

Paso 8: marque la opción Para todos los servidores DNS que se ejecutan en controladores de
dominio en este bosque: infonovice.priv y haga clic en Aceptar:
Paso 9: en las propiedades de la zona, seleccione las actualizaciones dinámicas Solo con
seguridad:

Paso 11: repita las etapas del 1 al 9 seleccionando la zona de búsqueda inversa 0.168.192.in-
addr.arpa:
Configurar la limpieza automática de zonas
Paso 1: vaya a la pantalla de inicio y haga clic en DNS:

Paso 2: despliegue el árbol de la consola y seleccione el servidor DNS DC-01:
Paso 3: despliegue el menú contextual y haga clic en Establecer caducidad/borrado para todas
las zonas…:
Paso 4: marque la opción Borrar registros de los recursos obsoletos y haga clic en Aceptar:
Paso 5: marque la opción Aplicar esta configuración a las zonas integradas en Active
Directory existentes y haga clic en Aceptar:
Paso 6: despliegue de nuevo el menú contextual del servidor DNS y, a continuación, haga clic
enPropiedades:
Paso 7: seleccione la pestaña Opciones avanzadas, marque la opción Habilitar la limpieza

automática de los registros obsoletos y haga clic en Aceptar:
En adelante está activa la limpieza automática de los registros DNS para todas las zonas. Este
parámetro será efectivo para todas las nuevas zonas DNS que se creen en adelante.
Configurar un reenviador condicional
Paso 2: despliegue el árbol de la consola y seleccione la carpeta Reenviadores condicionales:

Paso 3: despliegue el menú contextual y haga clic en Nuevo reenviador condicional…:
Paso 4: informe el nombre DNS del dominio Active Directory de la empresa OXYLIVE, es
deciroxylive.local, en el campo Dominio DNS. A continuación, escriba la dirección IP de un servidor
DNS del dominio oxylive.local, es decir 192.168.0.105 y haga clic en Aceptar:
Paso 5: en el servidor DNS del dominio oxylive.local OXYDC- 01, cree un registro DNS de tipo
CNAME llamado archivos con dirección IP 192.168.0.105:
Paso 6: conéctese al equipo CLIENT1 y escriba el comando DOS siguiente: ping

archivos.oxylive.local
El puesto cliente consigue resolver el alias archivos.oxylive.local porque el reenviador condicional

redirige todas las peticiones DNS al destino del servidor DNS del dominio oxylive.local. Los equipos
cliente del dominio infonovice.priv podrán, de este modo, resolver los nombres FQDN asociados a los
diferentes servicios albergados en otro bosque.
2. Configurar el servicio DNS con DNSSEC
Firmar una zona con DNSSEC

Paso 2: despliegue el árbol de la consola y seleccione la zona infonovice.priv:
Paso 3: despliegue el menú contextual, haga clic en DNSSEC y, a continuación, en Firmar la

zona:

Paso 5: marque la opción Personalizar los parámetros de firma de zona y haga clic
enSiguiente:
Paso 6: marque la opción El servidor DNS DC-01 es el maestro de claves y haga clic
enSiguiente:
Paso 8: haga clic en Agregar:

Paso 9: verifique los parámetros de la clave de autenticación (KSK) y, a continuación, haga clic
enAceptar:

Paso 12: haga clic en Agregar:
Paso 13: verifique los parámetros de la clave de autenticación (ZSK) y, a continuación, haga clic
en Aceptar:
Paso 15: marque la opción Usar NSEC3 y, a continuación, haga clic en Siguiente:
Los parámetros de iteraciones y salt permiten limitar los ataques por diccionario o por fuerza
bruta para descifrar la encriptación.
Paso 16: marque la opción Habilitar la actualización automática de anclajes de veracidad en

la sustitución de claves (RFC 5011) y haga clic en Siguiente:

Paso 19: verifique que la zona seleccionada incluye un pequeño logotipo en forma de candado
que indica que la zona está firmada y, a continuación, que los
registros RRSIG, DNSKEY yNSEC3 se han creado correctamente:
Paso 20: podemos constatar que después de la firma de la zona se han creado dos archivos en
la carpeta %SYSTEMROOT%\System32\dns: dsset-infonovice.priv y keyset-infonovice.priv.
Configurar la tabla NRPT de los clientes DNS
Paso 1: en la pantalla de inicio de Microsoft Windows Server 2012 R2, haga clic en el
iconoAdministración de directivas de grupo:
Paso 2: despliegue el árbol y seleccione el objeto de directiva de grupo (GPO) llamado Default
Domain Policy:
Paso 3: abra el menú contextual y haga clic en Editar:
Paso 4: despliegue el árbol de la consola y seleccione el siguiente nodo: Configuración del

equipo\Directivas\Configuración de Windows\Directiva de resolución de nombres:
Paso 5: complete la regla de la directiva de resolución de nombres para alimentar la tabla NRPT y
haga clic en Crear:
En el campo ¿A qué parte del espacio de nombres se aplica esta regla?,

seleccione FQDNde la lista desplegable, a continuación, escriba infonovice.priv.
En la pestaña DNSSEC, marque las opciones Habilitar DNSSEC en esta regla y Requerir a
los clientes DNS que comprueben que el servidor DNS haya validado el nombre y la
dirección.
Paso 6: verifique que la regla creada previamente figura en la tabla de directiva de resolución de
nombres (NRPT) y haga clic en Aplicar:
Paso 7: cierre el editor de administración de directivas de grupo y ejecute el comando
DOSgpupdate /force.
Paso 8: conéctese al equipo CLIENT1, abra una ventana DOS y ejecute el comando gpupdate
/force. Esta operación tiene como objetivo actualizar las directivas de seguridad del dominio.
Paso 9: siempre en el equipo CLIENT1, abra una ventana PowerShell y escriba el
comando Resolve-dnsname -name CLIENT1.infonovice.priv -type dnskey -
server DC-01 -dnssecok. De esta forma interrogamos los registros DNSSEC de la
zonainfonovice.priv.
3. Instalar y configurar el servicio DHCP

Este taller permite instalar y configurar las principales opciones del rol de servidor DHCP. En este
punto, el dominio infonovice.priv debe estar creado.
Instalar el rol de servidor DHCP
Paso 1: en el servidor DC-01, abra el Administrador del servidor y haga clic en Agregar roles y
características:
Paso 2: haga clic en Siguiente en la ventana Antes de comenzar.
Paso 3: haga clic en Siguiente en la etapa Seleccionar tipo de instalación.
Paso 4: haga clic en Siguiente en la etapa Seleccionar servidor de destino.
Paso 5: en la ventana Seleccionar roles de servidor, marque la opción correspondiente al

rolServidor DHCP.
Paso 6: haga clic en Agregar características:

Paso 8: haga clic en Siguiente en la etapa Seleccionar características.
Paso 10: haga clic en Instalar:

Paso 12: en el panel de la consola Administrador del servidor, haga clic en el panel de
información amarillo con un signo de exclamación y haga clic en Completar configuración de
DHCP:
Paso 14: haga clic en Confirmar para autorizar el servidor DHCP en Active Directory:
El servicio DHCP está en adelante instalado y autorizado en Active Directory para la distribución
de direcciones IP en la red.
Paso 16: repita los pasos 1 al 15 para instalar el rol de servidor DHCP en el servidor DC-02.
Crear un nuevo ámbito DHCP - IPv4
Paso 1: vaya a la pantalla de inicio de Microsoft Windows Server 2012 R2 y haga clic en el
iconoDHCP:
Paso 2: despliegue el árbol de la consola y seleccione el protocolo IPv4:
Paso 3: despliegue el menú contextual y haga clic en Ámbito nuevo…:
Paso 4: en la ventana Asistente para ámbito nuevo, haga clic en Siguiente.
Paso 5: en el campo Nombre escriba Ámbito DHCP INFONOVICE y, a continuación, en el

campoDescripción escriba Servidor: DC-01:
Paso 6: en el campo Dirección IP inicial escriba 192.168.0.150, a continuación en el
campoDirección IP final escriba 192.168.0.250 y haga clic en Siguiente:
Paso 7: en la sección Agregar exclusiones y retraso, haga clic en Siguiente.
Paso 8: deje la duración de concesión DHCP por defecto y haga clic en Siguiente:
Paso 9: marque la opción Configurar estas opciones ahora y haga clic en Siguiente:
Paso 10: en el campo Dirección IP escriba la dirección de la puerta de enlace predeterminada

que se configurará en todos los clientes DHCP, a continuación haga clic en Agregar y haga clic
enSiguiente:

Paso 13: marque la opción Activar este ámbito ahora y haga clic en Siguiente:

Paso 15: verifique en la consola que el ámbito creado previamente aparece con estado Activo:
Crear una reserva DHCP
Paso 1: despliegue el árbol de la consola y seleccione la carpeta Reservas:

Paso 2: despliegue el menú contextual y haga clic en Reserva nueva…:
Paso 3: escriba el nombre de la reserva Equipo CLIENT1, la dirección IP 192.168.0.155, la

dirección MAC 00-0C-29-4D-2A-5F y la descripción IP CLIENT1 y, a continuación, haga clic
enAgregar y en Cerrar:
Paso 4: verifique que la reserva de la dirección IP para el equipo CLIENT1 aparece:
Paso 5: conéctese al equipo CLIENT1 y verifique que la tarjeta de red está configurada para
recibir una dirección IP de forma automática. A continuación, escriba el comando ipconfig
/renew.
Paso 6: escriba el comando ipconfigy verifique que la dirección IP es 192.168.0.155.
4. Instalar y configurar la alta disponibilidad del servicio DHCP

Paso 1: vaya a la pantalla de inicio de Microsoft Windows Server 2012 R2 y haga clic en el
iconoDHCP.
Paso 2: despliegue el árbol de la consola y seleccione el protocolo IPv4:

Paso 3: despliegue el menú contextual y haga clic en Configurar conmutación por error.

Paso 5: haga clic en Agregar servidor:
Paso 6: marque la opción Este servidor DHCP autorizado, seleccione el servidor DHCP dc-
02.infonovice.priv y haga clic en Aceptar:
Paso 7: verifique que está seleccionado algún servidor asociado y haga clic en Siguiente:
Paso 8: marque la opción Habilitar autenticación de mensajes y escriba una contraseña en el

campo Secreto compartido. Haga clic en Siguiente.
Paso 9: verifique los datos del resumen y haga clic en Finalizar.
Paso 10: asegúrese que cada etapa de verificación de la conmutación por error se lleva a cabo
correctamente y, a continuación, haga clic en Cerrar:
Paso 11: en el árbol de consola, seleccione DHCP y haga clic en Agregar servidor...:
Paso 12: marque la opción Este servidor DHCP autorizado, seleccione el servidor dc-
02.infonovice.priv y haga clic en Aceptar:
Paso 13: despliegue el árbol del servidor dc-02.infonovice.priv hasta el protocolo IPv4 para
verificar que el ámbito creado en el servidor DC-01 se ha replicado correctamente:
Paso 14: abra una sesión en el equipo CLIENT1 y, a continuación, despliegue los detalles de
conexión de la tarjeta de red. Identifique y recuerde la dirección IP del servidor DHCP IPv4:
Paso 15: cambie al servidor DC-01 y, a continuación, en la consola DHCP, detenga el servicio en
el servidor dc-01.infonovice.priv:
Paso 16: cambie de nuevo al equipo CLIENT1 y ejecute los siguientes comandos DOS:ipconfig
/releasee ipconfig /renew.
Paso 17: abra las propiedades de la tarjeta de red para confirmar que el servidor DHCP IPv4 ha
cambiado correctamente al servidor de espera activa ubicado en dc-02.infonovice.priv
(192.168.0.101):
A lo largo de este capítulo hemos podido ver todos los aspectos de los servicios de red avanzados de
Microsoft Windows Server 2012 R2. Se podría resumir de la manera siguiente:
Los servidores DNS permiten realizar la correspondencia entre un nombre de dominio y una
dirección IP.
Los servidores DNS de Internet están estructurados según una jerarquía donde la raíz está
representada por un punto.
El borrado de los registros DNS no está activado de forma predeterminada. Hay que hacerlo
manualmente.
La implementación de los registros detallados debe realizarse manualmente en previsión de

una depuración. Los registros detallados consumen recursos, no hay que dejar esta opción
activa mucho tiempo en un entorno de producción.
Un servidor DNS posee varias zonas. Las zonas de búsqueda principales, secundarias, de
búsqueda inversa, de rutas internas o GlobalNames.
Para mejorar la seguridad de un servidor DNS es posible implementar la securización de la

caché DNS.
DNSSEC es una tecnología que permite firmar las peticiones DNS.
Un servidor DHCP asigna las direcciones IP a los clientes que realizan una petición.
Una novedad del servidor DHCP es la implementación de la alta disponibilidad.
IPAM permite gestionar el direccionamiento IP de un parque informático y espacios de

direcciones de servidores DHCP.
preguntas.
1. Preguntas
1 ¿Para qué sirve un servidor DNS?
2 ¿Cuántos servidores DNS raíz existen?
3 Especifique tres métodos de securización de un servidor DNS.
4 ¿Cuál es la duración predeterminada de una concesión DHCP?
5 ¿Cuáles son los dos modos de funcionamiento de la conmutación por error automática en caso
de fallo de un servidor DHCP?
6 ¿Se realiza copia de seguridad de un servidor DHCP de forma automática por defecto o es
necesario configurar una directiva de copia de seguridad manualmente?
7 ¿Cuáles son los tres métodos de implementación de un servidor IPAM?
8 Enumere al menos tres funciones de un servidor IPAM.
9 ¿Cuáles son las características mínimas para la instalación de un servidor IPAM?
10 ¿Qué comando permite borrar la caché DNS de un equipo cliente?
11 ¿Cuál es el procedimiento para activar los registros de depuración de un servidor DNS?
12 ¿Qué tipo de registro DNS permite identificar un servidor de correo electrónico?
13 Su red cuenta con dos servidores de correo electrónico. El servidor A posee un registro DNS
de prioridad 5 mientras que el servidor B posee una prioridad 10. ¿Qué servidor de correo
electrónico contactarán los usuarios para enviar e-mails?
14 ¿Para qué sirve un registro DNS de tipo NS?
15 ¿Para qué sirven los reenviadores de un servidor DNS?
16 ¿Para qué sirven los reenviadores condicionales?
17 ¿Qué comando dnscmd permite hacer una copia de seguridad de la zona DNS infonovice.priv
integrada en Active Directory?
18 ¿Qué comando Windows PowerShell permite hacer una copia de seguridad de la zona DNS
infonovice.priv integrada en Active Directory?
2. Resultados
Consulte las páginas siguientes para verificar sus respuestas. Por cada respuesta correcta, cuente un
punto.
3. Respuestas
1 ¿Para qué sirve un servidor DNS?
Un servidor DNS permite realizar la correspondencia entre nombres de dominio y direcciones IP.
2 ¿Cuántos servidores DNS raíz existen?
Existen 13 servidores DNS raíz, repartidos a través del mundo.

3 Especifique tres métodos de securización de un servidor DNS.
Para securizar un servidor DNS, podemos implementar la securización de caché DNS, la

configuración del grupo de sockets DNS y la implementación de DNSSEC firmando digitalmente las
zonas DNS.
4 ¿Cuál es la duración predeterminada de una concesión DHCP?
Cuando un cliente solicita una dirección IP a un servidor DHCP obtiene una concesión con una
validez de 8 días.
5 ¿Cuáles son los dos modos de funcionamiento de la conmutación por error automática en caso
de fallo de un servidor DHCP?
La función de conmutación automática por error puede funcionar en dos modos de configuración
diferentes: Espera activa y Equilibrio de carga.
6 ¿Se realiza copia de seguridad de un servidor DHCP de forma automática por defecto o es
necesario configurar una directiva de copia de seguridad manualmente?
Por defecto, la configuración de un servidor DHCP se copia automáticamente cada 60 minutos. Es

posible modificar este valor ajustando los parámetros del registro de Windows.
7 ¿Cuáles son los tres métodos de implementación de un servidor IPAM?
Los tres métodos de implementación de un servidor IPAM son los siguientes:
Distribuido: un servido IPAM en cada sitio del bosque Active Directory.
Centralizado: un servidor IPAM para el conjunto del bosque Active Directory.
Híbrido: un servidor IPAM centralizado y servidores IPAM distribuidos en cada sitio del
bosque Active Directory.
8 Enumere al menos tres funciones de un servidor IPAM.
Un servidor IPAM permite efectuar las tareas de administración y gestión siguientes:
Realizar un inventario automático de los servicios de red.
Recopilar información sobre los controladores de dominio.
Centralizar la gestión de los servicios de red DNS, DHCP, NPS (Network Policy Server) y
Active Directory.
Supervisar el uso y la asignación de direcciones IP.
Generar informes personalizados sobre la utilización de los recursos.
Realizar auditorías de las modificaciones de la configuración.
9 ¿Cuáles son las características mínimas para la instalación de un servidor IPAM?
La instalación de un servidor IPAM debe respetar los siguientes requisitos previos:
IPAM necesita un servidor dedicado que no debe ser controlador de dominio.
El servidor seleccionado debe ser miembro del dominio infonovice.priv.
Necesita al menos un procesador Dual Core de 2 GHz.
Se requiere al menos 4 GB de RAM (Random Access Memory).
Se requiere al menos 80 GB de espacio en disco libre.
El servidor IPAM debe ser m iem bro de un dom inio (y no controlador de dominio).
Se debe utilizar solamente una cuenta de administración del dominio (y no una cuenta
local).
Es posible instalar IPAM en un sistema operativo Windows Server 2008 o 2008 R2 siempre que se
respeten los siguientes requisitos previos:
Instalación del Service Pack 2
Instalación del componente .NET Framework 3.0 Beta y 4.0 Full
Instalación del paquete Windows Management Framework Core
WinRM (Windows Remote Management) debe estar activado
10 ¿Qué comando permite borrar la caché DNS de un equipo cliente?
Para eliminar el contenido de la caché DNS de un equipo cliente basta con escribir el comando
siguiente: ipconfig /flushdns
11 ¿Cuál es el procedimiento para activar los registros de depuración de un servidor DNS?
Para activar los registros de depuración de un servidor DNS debemos:
Acceder a las propiedades del servidor DNS en la consola Administrador DNS.
Hacer clic en la pestaña Registro de depuración.
Marcar la opción Paquetes de registro para depuración.
Indicar la ruta del archivo de registro.
12 ¿Qué tipo de registro DNS permite identificar un servidor de correo electrónico?
Los registros DNS de tipo MX permiten indicar los servidor de correo electrónico de la red.
13 Su red cuenta con dos servidores de correo electrónico. El servidor A posee un registro DNS
de prioridad 5 mientras que el servidor B posee una prioridad 10. ¿Qué servidor de correo
electrónico contactarán los usuarios para enviar e-mails?
Para enviar e-mails, se contactará primero con el servidor A porque, cuanto mayor es el número
que indica la prioridad de un servidor de correo electrónico, menor es su importancia.
14 ¿Para qué sirve un registro DNS de tipo NS?
Un registro DNS de tipo NS permite indicar los servidores de nombres de la red.
15 ¿Para qué sirven los reenviadores de un servidor DNS?
Los reenviadores de un servidor DNS permiten indicar a qué servidores DNS reenviar las peticiones
que no se han podido resolver.
16 ¿Para qué sirven los reenviadores condicionales?
Los reenviadores condicionales permiten redirigir las peticiones DNS de un dominio en particular a
los servidores que cuenten con autoridad para la zona.
17 ¿Qué comando dnscmd permite hacer una copia de seguridad de la zona DNS infonovice.priv
integrada en Active Directory?
Para hacer una copia de seguridad de una zona DNS integrada en Active Directory basta con
ejecutar el comando dnscmd siguiente: dnscmd /ZoneExport infonovice.priv
Infonovice.BackupZone
18 ¿Qué comando Windows PowerShell permite hacer una copia de seguridad de la zona DNS
infonovice.priv integrada en Active Directory?
Para hacer una copia de seguridad de una zona DNS integrada en Active Directory, basta con
ejecutar el comando Windows PowerShell siguiente: Export-DnsServerZone -Name
infonovice.priv -Filename Infonovice.BackupZone
Conocer las bases de un sistema de archivos NTFS.
Conocer las bases de una red LAN y WAN.
Conocer las bases de los recursos compartidos en Windows.
Conocer las bases de la gestión de un servidor de archivos.
2. Objetivos
Conocer los diferentes sistemas de archivo gestionados por Windows.
Aprender a optimizar el almacenamiento de datos.
Saber utilizar la consola Administrador de recursos.
Comprender las nociones de clasificación de datos.
Saber configurar la clasificación de archivos.
Comprender la noción de almacenamiento iSCSI.
Saber configurar un almacenamiento iSCSI.
Comprender la noción de almacenamiento NFS.
Saber configurar un almacenamiento NFS.
Comprender la utilidad de la funcionalidad BranchCache.
Saber configurar la funcionalidad BranchCache.

Presentación de los servicios de archivos
Los servicios de archivo en Microsoft Windows Server 2012 R2 permiten implementar y gestionar
fácilmente una unidad de almacenamiento local o en red. Microsoft soporta varias tecnologías para
adaptarse a las diferentes topologías y necesidades de una red informática. El conocimiento de las
diferentes tecnologías permite a un administrador optimizar la gestión del almacenamiento de datos
para que el acceso sea más sencillo y rápido para los usuarios.
1. Funcionamiento de los servicios de archivos

Durante la instalación del sistema operativo Windows Server 2012 R2, el rol de servidor Servicios
de archivos y de almacenamiento se instala de forma predeterminada, igual que los roles y
servicios siguientes:
Servicios de almacenamiento
Los siguientes servicios se instalan cuando compartimos archivos o cuando se promueve un servidor
a controlador de dominio:
Servicios de iSCSI y archivos (Small Computer System Interface)
Servidor de archivos
Estos roles y características permiten, también, tener un servidor de archivos de forma nativa listo
para almacenar y compartir datos con los usuarios y equipos de la red.
Cada volumen o partición montado en el sistema operativo puede estar formateado en uno de los
sistemas de archivo siguientes:
NTFS (New Technology File System)
ReFS (Resilient File System)
FAT32 (File Allocation Table 32 bits - solamente para discos extraibles)
Sin agregar componentes adicionales, Windows Server 2012 R2 permite:
Compartir datos
Implementar cuotas
Implementar instantáneas
Gestionar discos, volúmenes y particiones
Gestionar permisos de acceso empleando la seguridad NTFS
Auditar el acceso y uso de los recursos compartidos
2. Administración de los servidores de archivos

El rol de servidor dedicado al almacenamiento de datos aporta un conjunto de servicios Windows
dedicado a la gestión de archivos de un servidor Windows Server 2012 R2.
Los servicios Windows siguientes, dedicados a las funcionalidades de servicios de archivos, se

instalan de manera predeterminada:
Instantáneas de volumen (gestión de las instantáneas).
Cliente de seguimiento de vínculos distribuidos (gestión de los vínculos entre archivos

NTFS).
Disco virtual (gestión de discos, volúmenes, sistemas de archivos y grupos de

almacenamiento).
Espacio de nombres DFS (gestión de los espacios de nombres para las carpetas
compartidas).
Proveedor de instantáneas de software de Microsoft (gestión de las instantáneas creadas

por el servicio de instantánea).
Optimización de unidades (gestión de la optimización de los archivos en almacenamientos

remotos).
Publicación de recurso de detección de función (gestión de la publicación de los recursos

locales en la red).
Replicación de archivos (gestión de la sincronización de los archivos con el servicio de

replicación FRS - File Replication Service).
Replicación DFS (gestión de la sincronización de los archivos con el servicio de replicación

DFS-R - Distributed File Service Replication).
Servidor (gestión de la compartición de archivos e impresoras en la red).
a. Administrar los servicios de archivos
La administración de los servicios de archivos se realiza a través de las diferentes consolas de

administración siguientes que se implementan por defecto con el sistema operativo Windows
Server 2012 R2:
Administrador del servidor
En la consola Administrador del servidor es posible ver, de un solo vistazo, el estado del
rolServicios de archivos y de almacenamiento partiendo del panel:
Estado: muestra información complementaria sobre el estado de los servidores

gestionados.
Eventos: provee un acceso directo al Visor de eventos para observar posibles registros de
error, críticos o advertencias, vinculados al rol Servicios de archivos y almacenamiento.
Servicios: muestra los detalles sobre el estado de los servicios Windows vinculados al rol
del servidor.
Rendimiento: muestra una vista del visor de rendimiento para consultar el uso de los
recursos procesador y memoria vinculados al rol del servidor.
Resultados de BPA: muestra una vista con el resultado de la ejecución de la herramienta

Best Practice Analyzer.
Esta vista se encuentra disponible para el conjunto de servidores administrados empleando la

consola Administrador del servidor.
El panel de la consola Administrador del servidor incluye un acceso para administrar los servicios
de archivos y almacenamiento:
La sección Servicios de archivos y de almacenamiento permite gestionar los componentes

siguientes en el conjunto de servidores gestionados:
Volúmenes: permite gestionar los volúmenes existentes para efectuar tareas de

administración frecuentes tales como:
Crear una carpeta compartida
Crear un disco virtual iSCSI
Verificar y corregir los errores de los sistemas de archivos
Modificar la letra de unidad
Formatear
Extender o eliminar un volumen
Configurar la desduplicación de datos

Discos: permite gestionar los discos existentes para efectuar tareas de administración
frecuentes tales como:
Crear un nuevo volumen
Poner en línea o desconectar un disco
Inicializar un disco
Grupos de almacenamiento: permite gestionar los grupos de almacenamiento para

efectuar tareas de administración frecuentes tales como:
Crear un grupo de almacenamiento
Crear un disco virtual
Agregar o eliminar discos físicos a un grupo de almacenamiento existente
Un grupo de almacenamiento es una agrupación de varios discos físicos que permite crear
discos virtuales. Estos discos se ven como discos lógicos por el sistema operativo y podemos
crear en ellos particiones.
Recursos compartidos: permite gestionar los recursos compartidos de archivos en la red:
Recurso compartido SMB (Server Message Block): crea un recurso compartido utilizando el
protocolo SMB.
Recurso compartido NFS (Network File System): crea un recurso compartido utilizando el
protocolo NFS.
iSCSI: permite gestionar los discos virtuales iSCSI, con la condición de agregar el rol de
servicio Servidor de destino iSCSI.
Administración del equipo
En la consola Administrador de equipos, disponible en las herramientas administrativas o

abriendo el complemento compmgmt.msc, encontramos componentes de gestión similares a los
que ofrece la consola Administrador del servidor.
La sección Herramientas del sistema alberga la gestión de las Carpetas

compartidas(compartición de carpetas, visualización de sesiones activas y archivos abiertos
en el servidor):
La sección Almacenamiento alberga la Administración de discos (formatear, extender o
reducir un volumen, modificar la letra de unidad):
Iniciador iSCSI
Esta consola permite gestionar las conexiones a los grupos de almacenamiento iSCSI.
b. Roles y servicios de almacenamiento
Es posible visualizar y añadir roles y servicios de rol dedicados al almacenamiento desde la consola
Administrador del servidor. Microsoft Windows Server 2012 R2 gestiona los roles y los siguientes
servicios dedicados al rol Servicios de iSCSI y archivos:
BranchCache para archivos de red
Desduplicación de datos
Carpetas de trabajo
Espacios de nombres DFS
Proveedor de almacenamiento de destino iSCSI
Administrador de recursos del servidor de archivos
Replicación DFS
Servidor del destino iSCSI
Servidor para NFS
Servidor del agente VSS del servidor de archivos

También es posible visualizar los roles y servicios de rol instalados empleando los comandos
PowerShell siguientes:
Para verificar la presencia del rol Servidor del servicio de archivos y almacenamiento:
Get-WindowsFeature | Where-Object { $_.Name -like "File*" }
Para verificar la presencia de los servicios del rol Servicio de archivos y almacenamiento:
Get-WindowsFeature | Where-Object { $_.Name -like "FS-*" }

Almacenamiento en red
El almacenamiento en red consiste en emplear un servidor o un dispositivo de almacenamiento
dedicado para almacenar los archivos que serán accesibles a través de la red. El sistema operativo
Microsoft Windows Server 2012 R2 gestiona varias tecnologías y protocolos de almacenamiento de
red como iSCSI, NFS, DAS, SAN o NAS.
1. Almacenamiento SAN iSCSI

La tecnología SAN iSCSI (Storage Area Network internet Small Computer System Interface) permite a
los servidores acceder a dispositivos de almacenamiento en red iSCSI (LAN o WAN) utilizando el
protocolo de transporte TCP/IP. Se trata de una solución práctica para centralizar los datos en un
servidor de archivos o una cabina de almacenamiento con un coste inferior, ya que es posible utilizar
el entorno existente para implementar una infraestructura iSCSI. La implementación de este tipo de
almacenamiento ofrece funcionalidades de redundancia con múltiples rutas de acceso para acceder
a los datos. iSCSI es una tecnología SAN, más económica que Fibre Channel. iSCSI funciona
empleando un almacenamiento por bloque, también llamado LUN (Logical Unit Number). El primer
disco virtual creado en un servidor de destino lleva el número de LUN 0. El segundo disco virtual se
llama LUN 1.
El rendimiento de una infraestructura iSCSI en una red Ethernet es menor en comparación con la
tecnología SAN en una red de fibra óptica. Por este motivo, no es recomendable emplear una
infraestructura iSCSI en un entorno de producción, sino mejor en el marco de una maqueta o un
laboratorio de pruebas. Las mejores prácticas de Microsoft recomiendan el uso de una red Gigabit
para el despliegue de una infraestructura iSCSI.
a. Funcionamiento del almacenamiento iSCSI
Este protocolo de almacenamiento de red funciona en modo cliente/servidor. Los clientes se llaman
iniciadores y se benefician de la consola de administración Iniciador iSCSI, disponible en las
herramientas administrativas:
La consola Iniciador iSCSI funciona de manera conjunta con un servicio Windows llamado Servicio
del Iniciador iSCSI de Microsoft:
Este servicio se instala por defecto al instalar el sistema operativo, pero debe arrancarse con la
primera ejecución de la consola:
Si el servicio Iniciador iSCSI de Microsoft no está arrancado, no es posible configurar la conexión a
un servidor de destino iSCSI. Una vez configurado, el cliente envía los comandos iSCSI a los
servidores de destino empleando la red IP utilizando el puerto de comunicaciones
predeterminado3260. Este servicio utiliza el archivo C:\Windows\System32\iscsiexe.dll para
gestionar el descubrimiento y las conexiones a los servidores de destino.
Los servidores o dispositivos de almacenamiento iSCSI se denominan Servidores de

destino oTargets. Para transformar un servido en dispositivo de almacenamiento iSCSI, el rol de
servidorServidor de destino iSCSI debe estar instalado previamente. El iniciador iSCSI permite
entonces configurar un servidor cliente para hacer de puntero a un dispositivo de almacenamiento
iSCSI llamado Target.
Durante la conexión de un cliente iniciador mediante una tarjeta de red Ethernet, el sistema
operativo utiliza un controlador de sistema encargado de transportar los datos de la pila de
almacenamiento a la pila de red. Este controlador se almacena en la siguiente
ubicación:C:\Windows\System32\Drivers\msiscsi.sys.
Infraestructura iSCSI:
Para implementar la alta disponibilidad en una infraestructura iSCSI, los clientes iniciadores pueden
configurarse con varias rutas de acceso a los servidores de destino. Al no poder contar con
conmutadores para redes de fibra óptica, una red Gigabit será muy apreciada para conservar las
mínimas ganancias de rendimiento.
Para que un cliente que utiliza la consola Iniciador iSCSI pueda comunicarse con un dispositivo de
almacenamiento que emplee el servicio de rol Servidor de destino iSCSI, el administrador debe
configurar en los servidores de destino identificadores únicos llamados IQN (iSCSI Qualified Name).
Si la resolución de nombres de los servidores de destino no está disponible empleando los IQN,
también es posible configurar la consola Iniciador iSCSI indicando la dirección IP o el nombre FQDN
de los servidores de destino.
Una infraestructura iSCSI funciona perfectamente con las aplicaciones que necesitan
almacenamiento por bloque tales como los hipervisores Citrix XenServer, VMware vSphere (ESX) o
Microsoft Hyper-V.
La ventaja de esta infraestructura es que es escalable. Además de ofrecer alta disponibilidad al

ofrecer redundancia de discos y de rutas de acceso, también es posible extender la capacidad de
almacenamiento de un disco virtual en caliente.
b. Gestión del almacenamiento iSCSI
La configuración de una infraestructura iSCSI se lleva a cabo empleando dos consolas de

administración:
Clientes: el administrador utiliza la consola Iniciador iSCSI para configurar las conexiones
a los servidores de destino. Esta consola se instala por defecto con el sistema operativo a
partir de Windows Server 2008. Para asegurar la alta disponibilidad de una infraestructura
iSCSI, la consola Iniciador iSCSI es capaz de gestionar 32 rutas de acceso diferentes a los
servidores de destino empleando la tecnología Microsoft MPIO (Multipath I/O).
La consola Iniciador iSCSI presenta dos funcionalidades a partir de Windows Server 2012:
La autenticación CHAP (Challenge Handshake Authentication Protocol): permite autenticar

la conexión de los clientes iniciadores a los discos virtuales del almacenamiento iSCSI.
Solicitud de ID (no funciona con las versiones del sistema operativo anteriores a
Windows 8 para los clientes y Windows Server 2012 para los servidores): permite
identificar de forma más sencilla un cliente iSCSI agregando automáticamente el ID de
iniciador (IQN) a un host seleccionado en el dominio.
Servidores: el administrador utiliza la consola Administrador del servidor para configurar

el servicio de rol y configurar los destinos iSCSI así como los discos virtuales. Esta consola
requiere la instalación del rol de servicio Servidores del destino iSCSI.
Los datos de un almacenamiento iSCSI se almacenan en un disco virtual en el servidor de
destino. El servicio de rol crea un archivo *.vhd que representa el disco virtual creado en la
siguiente ubicación: <Unidad del disco>:\iSCSIVirtualDisks\<Nombre del disco>.vhd
2. Almacenamiento SAN FCoE

La tecnología SAN FCoE (Storage Area Network Fibre Channel over Ethernet) permite a su vez
acceder a dispositivos de almacenamiento en red utilizando un sistema de almacenamiento por
bloques al igual que el almacenamiento iSCSI. El administrador de una cabina SAN debe crear las
LUN, que serán visibles por los servidores como unidades de almacenamiento locales. La diferencia
con el almacenamiento SAN iSCSI es que una infraestructura SAN utiliza un equipamiento hardware
adicional basado en fibra óptica y una cabina de almacenamiento SAN compatible. Los costes de
esta tecnología son, de hecho, muy elevados ya que es necesario modificar el sistema de
información (añadir tarjetas de red de fibra en cada servidor con acceso a la cabina de
almacenamiento, conmutadores para la red de fibra óptica, etc.). El almacenamiento SAN FCoE es
una solución escalable y segura. Es posible agregar discos para extender la capacidad de
almacenamiento y la infraestructura puede ser redundante duplicando cada elemento conectado a la
red de fibra óptica. Esto ofrece capacidades de alta disponibilidad y de rutas múltiples para acceder
a una cabina de almacenamiento redundante para los servidores autorizados. Si los componentes
están duplicados en la red de fibra óptica, los servidores conectados deberán poseer dos interfaces
de red cada uno para conectarse a los diferentes conmutadores de fibra óptica redundantes.
La identificación de los elementos en la red no se hace empleando un IQN como en la tecnología

iSCSI, sino empleando un World Wide Name (WWW) único para la red.
3. Almacenamiento NFS
Inicialmente la tecnología NFS (Network File System) consistía en instalar un servidor de archivos
para compartir los datos entre servidores UNIX/Linux utilizando el protocolo de transporte TCP/IP
para el transporte de los datos. Hoy en día, NFS existe también en los sistemas operativos Windows
o Macintosh, para compartir datos con servidores UNIX/Linux.
En Microsoft Windows Server 2012 R2, la implementación de un servidor NFS se realiza a través del
servicio de rol Servidor para NFS. Para un equipo que ejecute el sistema operativo Windows
Server 2012, la conexión a una cabina de almacenamiento NFS se realiza utilizando la característica
de servidor Cliente para NFS.
4. Almacenamiento DAS
La tecnología de almacenamiento DAS (Direct Attached Storage) corresponde a la conexión de un
dispositivo de almacenamiento directamente a un servidor, sin pasar por la red. Todo disco interno,
externo o extraíble (por ejemplo un dispositivo USB como una llave o tarjeta de memoria) es
considerado como un almacenamiento DAS, es decir directamente conectado al servidor.
5. Almacenamiento NAS
La tecnología NAS (Network Attached Storage) corresponde a un servidor de archivos donde los
volúmenes o carpetas se comparten a través de la red mediante protocolos de compartición tales
como CIFS (Common Internet File System) o SMB (Server Message Block).
Optimizar el uso del almacenamiento
Hoy en día, todas las empresas poseen en sus infraestructuras informáticas un servidor de archivos
que los administradores deben gestionar para optimizar el acceso de los usuarios. Este capítulo
detalla lo esencial de las funcionalidades vinculadas a la gestión de un servidor de archivos para
optimizar mejor los datos almacenados en la red.
1. Administrador del recursos

El sistema operativo Windows Server 2012 R2 incluye el servicio de rol Administrador de recursos
del servidor de archivos (en la versión inglesa, este servicio de rol se llama FSRM - File Server
Resource Management), que permite agregar una consola de gestión que simplifica y centraliza las
opciones de administración de datos almacenados en el servidor.
a. Funcionamiento FSRM
Al agregar el servicio de rol FSRM se agrega la consola Administrador de recursos del servidor de
archivos en las herramientas administrativas:
Esta consola de administración es un complemento llamado fsrm.msc, accesible desde una MMC.
Este complemento se almacena en la ubicación siguiente: %Windir%\system32\fsrm.msc
Agregar el servicio de rol nos permite, también, agregar el servicio Windows

siguiente:Administrador de recursos del servidor de archivos.
Este servicio Windows, una vez arrancado, permite gestionar cuotas, filtros, informes de
almacenamiento y la clasificación de los archivos.
b. Administración FSRM
La herramienta de administración Administrador de recursos del servidor de archivos permite

gestionar los siguientes componentes:
Administración de cuotas
Administración del filtrado de archivos
Administración de informes de almacenamiento
Administración de clasificaciones
Tareas de administración de archivos
2. Administración de cuotas
La sección Administración de cuotas de la consola Administrador de recursos del servidor de
archivos permite implementar la funcionalidad de cuotas en el servidor de archivos. Las cuotas
permiten limitar el uso del espacio en disco de un volumen lógico o de una carpeta:
Al implementar cuotas en un volumen, todas las nuevas carpetas creadas en él tendrán una
limitación relativa al espacio en disco disponible. Las plantillas de cuota agrupan plantillas
predefinidas de reglas de cuota aplicables directamente en un volumen o archivo.
La limitación de uso del espacio de almacenamiento de una carpeta o de un volumen utilizando

cuotas puede implementarse mediante dos opciones:
Cuota máxima: esta opción permite impedir a los usuarios superar el límite de
almacenamiento fijado por el administrador.
Cuota de advertencia: esta opción permite a los usuarios superar el límite de

almacenamiento fijado por el administrador con objeto de analizar el uso del espacio de
almacenamiento.
Cada cuota puede configurarse con un umbral de notificación que advierte al administrador cuando
el espacio de almacenamiento de un volumen o carpeta se ha alcanzado. Es posible enviar una
alerta por e-mail o empleando el visor de eventos automáticamente cuando el espacio en disco
disponible alcanza un umbral definido en función del porcentaje de espacio en disco utilizado.
a. Creación de una cuota
Para crear una cuota en la carpeta C:\Compartir para que los usuarios de la red no puedan
almacenar más de 3 MB de datos, bastará con realizar el siguiente procedimiento:
Abra la consola de administración Administrador de recursos del servidor de archivos.
Despliegue el árbol de la consola: Administrador de recursos del servidor de archivos -

Administración de cuotas - Cuotas.
Haga clic con el botón derecho en Cuotas y, a continuación, haga clic en Crear cuota.
En la ventana Crear cuota haga clic en Examinar en la sección Ruta de acceso de cuota.
Seleccione la carpeta C:\Compartir y haga clic en Aceptar para validar.
Marque las opciones Crear cuota en la ruta de acceso y, a continuación, marque la

opciónDefinir propiedades de cuota personalizadas y haga clic en Propiedades
personalizadas:
La opción Derivar propiedades de esta plantilla de cuota permite aplicar una de las
plantillas de cuota existentes, cuyas propiedades se encuentran predefinidas.
En la ventana Propiedades de cuota de C:\Compartir, escriba un límite de 3 MB en la

secciónLímite de espacio. Marque a continuación la opción Cuota máxima y haga clic en el
botónAgregar en la sección Umbrales de notificación:
Escriba 80 en el campo Generar notificaciones cuando el uso alcance (%) y, a continuación,
marque la opción Enviar advertencia al registro de eventos en la pestaña Registro de
eventos. Deje las demás opciones por defecto y haga clic en Aceptar:
Haga clic en Aceptar en la ventana Propiedades de cuota de C:\Compartir y, a continuación,
haga clic en Crear en la ventana Crear cuota.
Marque la opción Guardar la cuota personalizada sin crear una plantilla y haga clic
enAceptar.
La cuota aparece, a continuación, en la ventana de la sección Cuota del Administrador de

recursos del servidor de archivos:
Copie el archivo C:\Windows\explorer.exe en la carpeta C:\Compartir y actualice la ventana

de administración de cuotas. Vemos inmediatamente que el espacio utilizado en la carpeta
alcanza el 75% de utilización:
En este punto, no se envía ninguna notificación porque el umbral de 80% del espacio en disco
utilizado no se ha alcanzado.
Copie el archivo C:\Windows\System32\netlogon.dll en la carpeta C:\Compartir y actualice

la ventana de administración de cuotas. El espacio en disco utilizado en la carpeta alcanza,
ahora, el 96%. Se genera una notificación y se envía al registro de eventos.
Abra la consola Visor de eventos ubicada en las Herramientas administrativas, despliegue el

árbol de la consola para seleccionar el registro Aplicación de la sección Registros de
Windows. El ID de evento 12325 aparece con un nivel que muestra una Advertencia.
Seleccione el ID para ver sus propiedades. Se comprueba, así, que el espacio de
almacenamiento disponible en la carpeta C:\Compartir ha superado el umbral de utilización
fijado por la cuota en 80%:
Copie el archivo C:\Windows\regedit.exe en la carpeta C:\Compartir. Se abre una ventana

que indica que no es posible copiar el archivo porque se ha superado el espacio en disco
asignado a esa carpeta. Este bloqueo se debe a la gestión de cuotas en la carpeta y a la
aplicación de una regla de cuota máxima.
b. Creación de una plantilla de cuota
Para crear una plantilla de cuota que permita a los usuarios de red almacenar 1 GB de datos en
una carpeta determinada dentro del servidor de archivos, basta con realizar el siguiente
procedimiento:

Administración de cuotas - Plantillas de Cuota.
Haga clic con el botón derecho en Plantillas de Cuota y, a continuación, haga clic en Crear
plantilla de cuota.
En el campo Nombre de plantilla escriba Límite de 1 GB, configure el límite de la cuota a 1 GB

y marque, a continuación, la opción Cuota máxima y haga clic en Aceptar:
La plantilla de cuota creada aparece, a continuación, en la lista de plantillas de cuota disponibles:
También será posible crear una nueva cuota empleando este modelo predefinido.
3. Administración del filtrado de archivos

La sección Administración del filtrado de archivos de la consola Administrador de recursos del
servidor de archivos permite implementar una funcionalidad útil para gestionar grandes conjuntos
de datos almacenados en un servidor de archivos. El filtrado permite limitar el almacenamiento de
ciertas categorías de archivos en el espacio en disco de un volumen lógico o de una carpeta:
Al implementar una regla de filtrado en una carpeta, se excluirán automáticamente todos los
archivos nuevos que se correspondan con la regla creada y asignada a la carpeta. Las plantillas de
cuota agrupan plantillas predefinidas de filtrado de archivos que pueden aplicarse directamente en
un volumen o archivo:
Con una regla de filtrado es posible prohibir que se almacenen archivos de los siguientes tipos,
agrupados en la sección Grupos de archivos:
Archivos de sistema (por ejemplo: *.dll, *.ocx)
Archivos de audio y vídeo (por ejemplo: *.avi, *.mkv)
Archivos comprimidos (por ejemplo: *.zip, *.rar)
Archivos de correo electrónico (por ejemplo: *.eml, *.idx)
Archivos de página web (por ejemplo: *.html, *.php)
Archivos de copia de seguridad (por ejemplo: *.bck, *.old)
Archivos ejecutables (por ejemplo: *.exe, *.bat)
Archivos de imagen (por ejemplo: *.jpeg, *.png)
Archivos Office (por ejemplo: *.doc, *.xls)
Archivos temporales (por ejemplo: *.temp, *.tmp)
Archivos de texto (por ejemplo: *.txt, *.text)
Si alguna extensión de archivo concreta no existiese en ninguno de los grupos de archivos

predefinidos, es posible editar un grupo para añadir la extensión que falta, o crear un nuevo
grupo de archivos.
Es posible configurar el filtrado de archivos de una carpeta o de un volumen empleando una regla de
filtrado de dos maneras distintas:
Filtrado activo: esta opción permite impedir a los usuarios almacenar los archivos no
autorizados detallados en la regla de filtrado.
Filtrado pasivo: esta opción permite a los usuarios almacenar los archivos no autorizados
por el administrador. La ausencia de bloqueo permite analizar el uso del almacenamiento de
los archivos con la posibilidad de editar los informes. Estos informes permiten detallar
aquellos usuarios que almacenan archivos no deseados en la red.
Las reglas de filtrado determinan así el tipo de archivos que los usuarios pueden almacenar en la
red.
a. Creación de un filtro de archivos
Para crear un filtro de archivos que permita excluir automáticamente los contenidos de tipo audio y
vídeo en el servidor de archivos, basta con realizar el siguiente procedimiento:

Administración del filtrado de archivos - Filtros de archivos.
Haga clic con el botón derecho en Filtros de archivos y, a continuación, haga clic en Crear
filtro de archivos.
En la ventana Crear filtro de archivos, haga clic en Examinar de la sección Ruta de acceso al
filtro de archivos.
Seleccione la carpeta C:\Compartir y haga clic en Aceptar para validar.
En la ventana Crear filtro de archivos, marque la opción Derivar propiedades de esta

plantilla de filtro de archivos y seleccione la plantilla Bloquear archivos de audio y vídeo. A
continuación, haga clic en el botón Crear.
El filtro aparece, a continuación, en la ventana de la sección Administrador de recursos del

servidor de archivos:
Cuando un usuario de red intente grabar archivos de audio o vídeo en la carpeta
compartidaC:\Compartir, aparecerá el siguiente mensaje:
b. Creación de una plantilla de filtro
Para crear una plantilla de filtro de archivos que nos permita prohibir el almacenamiento de
archivos de tipo AutoCAD, bastará con seguir el procedimiento siguiente:

Administración del filtrado de archivos - Plantillas de filtro de archivos.
Haga clic con el botón derecho en Plantillas de filtro de archivos y, a continuación, haga clic
en Crear plantilla de filtro de archivos.
En la ventana Crear plantilla de filtro de archivos, escriba el texto Bloquear archivos

AUTOCAD en el campo Nombre de plantilla, marque a continuación la opción Filtrado activoy
haga clic en el botón Crear de la sección Mantener grupos de archivos:
En la ventana Crear propiedades del grupo de archivos, escriba Archivos AUTOCAD en el
campo Nombre del grupo de archivos. Escriba a continuación *.dwg en el campo Archivos
incluidos y haga clic en el botón Agregar. Repita la operación para la extensión *.dxf. Haga
clic en Aceptar para crear el grupo de archivos AutoCAD:
En la ventana Crear plantilla de filtro de archivos, marque la opción Archivos AUTOCAD en
la sección Grupos de archivos y haga clic en Aceptar para validar la creación de la plantilla de
filtro:
La plantilla de filtro aparece, a continuación, en la ventana de la consola Administrador de recursos
del servidor de archivos:
En esta vista es posible ver que la plantilla de filtro llamada Bloquear archivos AUTOCAD
emplea un filtrado de tipo Activo y utiliza el grupo de archivos llamado Archivos AUTOCAD.
Una vez creada la plantilla de filtro, puede crear un filtro de archivos que empleará la plantilla
de filtro Bloquear archivos AUTOCAD. Los usuarios no podrán almacenar ningún archivo de
extensión *.dwg o *.dxf en las carpetas cubiertas por el filtro.
4. Administración de la clasificación
La sección Administración de clasificaciones de la consola Administrador de recursos del servidor
de archivos permite definir reglas de clasificación de cara a configurar las propiedades de los
archivos o carpetas almacenados en el servidor a partir de condiciones definidas por el
administrador.
Las propiedades de la clasificación: permiten definir las propiedades de clasificación de un

archivo o carpeta en función de diferentes criterios como el contenido, el tamaño, el tipo de
archivo u otros atributos de almacenamiento.
Las reglas de clasificación: permiten examinar los datos de un servidor para modificar las
propiedades de clasificación en función del contenido.
El conjunto de archivos o carpetas de un servidor posee en adelante en sus propiedades una

pestaña Clasificación. Una vez que el archivo o carpeta ha sido examinado por una regla de
clasificación, se actualizarán las propiedades de clasificación del objeto pertinente.
De esta forma es posible asignar una propiedad de clasificación a un objeto almacenado si contiene,
por ejemplo, una palabra determinada. Estas propiedades de clasificación se pueden utilizar para
otras funciones de Windows Server 2012 R2 como el control de acceso dinámico. La clasificación de
archivos ya existía en Windows Server 2008 R2. El sistema operativo Windows Server 2012 aporta
sin embargo algunas novedades, como por ejemplo la posibilidad de personalizar el error mostrado
en la pantalla cuando un usuario no puede acceder a un recurso que posee un tipo de clasificación
que indica que los archivos están reservados estrictamente a la dirección.
Para poner en práctica el uso de la clasificación de archivos podemos, por ejemplo, tomar la carpeta
C:\Compartir y crear un conjunto de archivos de texto que contengan diferentes valores. Crearemos
a continuación un archivo de texto llamado C:\Compartir\Documentos.txt que contenga las palabras
"DIRECCIÓN INFONOVICE". Vamos también a crear una propiedad de clasificación y una regla de
clasificación que permita examinar los archivos de texto de la carpeta C:\Compartir. Si el examen
descubre la cadena "DIRECCIÓN INFONOVICE", la regla de clasificación asignará el valor
"VERDADERO" a la propiedad de clasificación creada.
a. Creación de una propiedad de clasificación
Para crear una propiedad de clasificación del tipo VERDADERO/FALSO para saber si el archivo
examinado contiene la frase "DIRECCIÓN INFONOVICE", basta con realizar el procedimiento
siguiente:

Administración de clasificaciones - Propiedades de la clasificación.
Haga clic con el botón derecho en Propiedades de la clasificación y, a continuación, haga clic
en Crear propiedad local.
En el campo Nombre de la pestaña General, escriba DIRECCIÓN INFONOVICE, seleccione el

tipo de propiedad Sí/No y haga clic en Aceptar:
La propiedad de clasificación creada aparece, en lo sucesivo, en la consola:
b. Creación de una regla de clasificación
Para crear una regla de clasificación aplicable sobre un conjunto de datos respetando la propiedad
de clasificación "DIRECCIÓN INFONOVICE", basta con seguir el procedimiento siguiente:

Administración de clasificaciones - Reglas de clasificación.
Haga clic con el botón derecho en Reglas de clasificación y, a continuación, haga clic en Crear
regla de clasificación.
En la pestaña General de la ventana Crear regla de clasificación escriba REGLA DIRECCIÓN

INFONOVICE y, a continuación, marque la opción Habilitada.
En la pestaña Ámbito de la ventana Crear regla de clasificación haga clic en el

botónAgregar para seleccionar la carpeta C:\Compartir y, a continuación, haga clic
en Aceptar para validar.
En la pestaña Clasificación de la ventana Crear regla de clasificación,

seleccioneClasificador de contenido en la sección Método de clasificación. Seleccione
después la propiedad DIRECCIÓN INFONOVICE y haga clic en el botón Configurar.
En la ventana Parámetros de clasificación, seleccione un tipo de expresión Cadena en la

sección Parámetros y escriba la expresión DIRECCIÓN INFONOVICE. Haga clic en Insertar y, a
continuación, en Aceptar:
En la pestaña Tipo de evaluación de la ventana Crear regla de clasificación, marque la

opción Volver a evaluar los valores de propiedad existentes y, a continuación, marque la
opción Sobrescribir el valor existente. Haga clic en Aceptar para validar la regla de
clasificación.
La regla de clasificación creada aparece, a continuación, en la consola:
En la consola Administrador de recursos del servidor de archivos, sección Reglas de

clasificación, haga clic en el menú Acción y, a continuación, Ejecutar clasificación con todas
las reglas ahora.
En la ventana Ejecutar clasificación, marque la opción Esperar a que termine la

clasificacióny haga clic en Aceptar:
Al terminar la ejecución, se abre un informe en formato HTML indicando el número de archivos

encontrados en el directorio C:\Compartir que contienen la cadena de caracteres "DIRECCIÓN
INFONOVICE":
Navegue hasta la carpeta C:\Compartir y edite las propiedades de cada archivo para verificar
la propiedad de la pestaña Clasificación.
Constatamos así que solo el archivo de texto C:\Compartir\Documentos.txt posee el

valorVERDADERO en la propiedad de clasificación DIRECCIÓN INFONOVICE, porque la cadena de
caracteres existe en este archivo. Los otros archivos poseen un valor fijo Ninguna en la misma
propiedad de clasificación:
La clasificación permite, de forma similar a un sistema de gestión electrónica de documentos (GED),

definir propiedades adicionales en los archivos y carpetas. Esto permite clasificar mejor o gestionar
los permisos de acceso empleando el control de acceso dinámico.
5. Administración de informes de almacenamiento

La sección Administración de informes de almacenamiento de la consola Administrador de
recursos del servidor de archivos permite generar informes relativos al uso del almacenamiento y
los archivos almacenados. Los informes permiten destacar una gran cantidad de información, como
los archivos de mayor tamaño, el uso de cuotas o los archivos duplicados.
6. Desduplicación de datos
La desduplicación de datos es un servicio de rol del Servicio de archivos y almacenamiento. La
desduplicación de datos permite buscar y eliminar los datos duplicados sin comprometer su
integridad. Para ahorrar espacio en el almacenamiento asignado, esta función elimina los duplicados
conservando una única copia y sustituyendo los duplicados por enlaces simbólicos que hacen
referencia al archivo guardado.
No es posible habilitar la desduplicación de datos en un volumen que contenga el sistema operativo.

Esta funcionalidad solo puede activarse en un volumen de datos. La activación de la desduplicación
de datos puede hacerse en dos niveles:
Durante la creación de un nuevo volumen de datos:
En la sección Volúmenes del Administrador del servidor:
La activación de la desduplicación de datos presenta varias opciones de configuración:
Indicar la antigüedad de los archivos a duplicar

Especificar las extensiones de los archivos a excluir
Especificar las carpetas a excluir
Planificar la desduplicación de datos
a. Instalar la desduplicación de datos
Para agregar este componente, basta con abrir el Administrador del servidor, hacer clic
enAgregar roles y características y, a continuación, marcar el servicio de rol siguiente: Servicio
de archivos y almacenamiento - Servicios de iSCSI y archivo - Desduplicación de datos.
Para instalar la desduplicación de datos empleando PowerShell, basta con escribir el comando
siguiente:
Add-WindowsFeature -name FS-Data-Deduplication
b. Activar la desduplicación de datos
Para activar la desduplicación de datos, basta con realizar el procedimiento siguiente:
Abra el Administrador del servidor, haga clic en la sección Servicio de archivos y

almacenamiento y, a continuación, seleccione la sección Volúmenes.
Haga clic con el botón derecho en el volumen de datos de su servidor de archivos y, a

continuación, haga clic en Configurar desduplicación de datos.
Seleccione en la opción desplegable, Desduplicación de datos: Servidor de archivos de uso
general y, a continuación, escriba el nombre de las extensiones que desea excluir del proceso
de desduplicación separándolas con una coma (por ejemplo: bat,ps1,vbs). A continuación,
haga clic en Siguiente:
En esta ventana, también es posible seleccionar las carpetas a excluir del proceso de
desduplicación para que el contenido no sea tenido en cuenta. El botón Establecer programación
de desduplicación permite planificar la ejecución del proceso en un periodo de la semana bien
definido. También es posible seleccionar los días de ejecución y la hora de inicio del proceso de
desduplicación.
Para activar la desduplicación empleando PowerShell, basta con escribir el comando siguiente:
Enable-DedupVolume <Letra de unidad:>
Por ejemplo: Enable-DedupVolume E:
c. Verificar la desduplicación
Para validar que el proceso de desduplicación de datos ha funcionado, basta con realizar el
procedimiento siguiente:
Descargue el archivo ALTools.exe del sitio Web de Microsoft en la dirección

siguiente:http://www.microsoft.com/en-us/download/confirmation.aspx?id=18465
Copie el archivo ALTools.exe en la carpeta E:\Compartir, E:\Copia y la raíz de la unidad del

volumen de datos.
En el Administrador del servidor, sección Servicios de archivos y almacenamiento -

Volúmenes, configure la desduplicación para archivos de más de 0 días (valor seleccionado en
el cuadro de texto).
Escriba, a continuación, el comando PowerShell siguiente:
Start-DedupJob -Volume E: -Type Optimization
Escriba el comando Get-DedupJobpara garantizar que el estado de la tarea ha cambiado

de Running a Completed:
Verifique el tamaño del archivo ALTools.exe en cada carpeta. En las propiedades del archivo, el
tamaño en el disco deberá ser más pequeño que al principio.
BranchCache
BranchCache es una tecnología de Microsoft que permite reducir el tráfico de red WAN (Wide Area
Network) entre los sitios, permitiendo alojar en caché aquellos archivos que se utilicen con mayor
frecuencia.
1. Presentación de BranchCache
La tecnología BranchCache apareció con el sistema operativo Windows Server 2008 R2 y el cliente
Windows 7. La necesidad se ha acrecentado con el aumento de las estructuras que funcionan con
sitios remotos (sucursales, usuarios desplazados, anexos...) donde los servidores de la
infraestructura no se encuentran dentro de la empresa. Cada usuario que desea acceder a los
recursos alojados en un sitio remoto puede sufrir lentitud y problemas de velocidad a través de una
conexión de red remota.
Microsoft ha renovado la implementación de la tecnología BranchCache en el sistema operativo

Windows Server 2012 R2 como una funcionalidad de servidor. BranchCache permite alojar en caché
de recursos consultados por los usuarios empleando los protocolos siguientes:
SMB (Server Message Block): este protocolo lo utilizan los recursos compartidos en una red
Microsoft. Cualquier recurso consultado por un usuario remoto a través de un recurso
compartido de red puede almacenarse, potencialmente, en caché si se ha implementado
BranchCache.
BITS (Background Intelligent Transfer Service): este protocolo lo utilizan las aplicaciones (por
ejemplo: Windows Update) para transferir en segundo plano los datos de un servidor a los
clientes utilizando los momentos en los que el ancho de banda demandado es menor. Los
datos transferidos a través del componente Windows BITS pueden almacenarse en caché en
una infraestructura BranchCache.
HTTP/HTTPS (HyperText Transfer Protocol): estos protocolos se utilizan para acceder a

contenido web seguro o no desde un servidor Web como Microsoft IIS (Internet Information
Services). El contenido recuperado a través del tráfico Web HTTP o HTTPS puede almacenarse
en un servidor de caché de una infraestructura BranchCache, para que los usuarios puedan
acceder más rápidamente al contenido del sitio Internet.
Cuando un usuario intenta leer el contenido de un recurso empleando uno de estos protocolos,
BranchCache se encarga de poner en caché el archivo en caso de que otro usuario de la red lo
necesite. A día de hoy, solo los clientes Windows 7, 8 u 8.1 pueden utilizar las características de
BranchCache instaladas en los servidores Windows Server 2008 R2, Windows Server 2012 o
Windows Server 2012 R2. El uso de la funcionalidad BranchCache reduce de esta forma el tráfico en
las redes WAN garantizando una buena conexión entre sitios.
a. Funcionamiento de BranchCache
La tecnología BranchCache requiere agregar el servicio de rol BranchCache para archivos de

reden el servidor de archivos o el servidor Web, accesible por los usuarios. A continuación, debe
configurarse una GPO para activar BranchCache en el servidor.
Si la infraestructura de red utiliza el modo de caché hospedada, la funcionalidad de servidor

BranchCache debe estar agregada para transformar al servidor ubicado en el sitio remoto en
servidor de caché para los usuarios. Debe crearse, también, una GPO para configurar el Firewall
del servidor de caché y, de este modo, autorizarlo para aceptar el tráfico http entrante.
Cuando agregamos la funcionalidad BranchCache en un servidor de caché, se crea el servicio

Windows BranchCache con tipo de arranque automático. Este servicio tiene como objetivo escribir
en caché los recursos consultados por los equipos cliente.
Cuando se configura un sitio remoto para utilizar el modo de caché distribuida, los equipos cliente
emiten peticiones multicast en la red para saber qué equipo de la red cuenta con una copia en
caché del recurso deseado por el usuario. Para no bloquear las peticiones multicast de los equipos
cliente, el administrador del sitio remoto debe configurar una GPO para autorizar el tráfico http y
WS-Discovery en el Firewall de los clientes Windows.
Los clientes que ejecuten el sistema operativo Windows 7, Windows 8 o Windows 8.1 poseen un
cliente nativo BranchCache configurado como un servicio Windows. Por defecto, este servicio se
encuentra detenido y el tipo de arranque está configurado como Manual.
Cuando se crea una directiva de grupo para activar BranchCache en los equipos cliente Windows 8
u 8.1 el servicio Windows arranca en un modo de funcionamiento de caché hospedada. Esto quiere
decir que los clientes comienzan buscando un servidor de caché en la red local. Si el servidor de
caché no existe, los clientes cambian al modo de funcionamiento de caché distribuida. Esta
configuración automática de los clientes Windows puede configurarse mediante una GPO para
definir previamente el modo de caché distribuida u hospedada.
b. Administración de BranchCache
Las carpetas compartidas
Agregar el servicio de rol BranchCache en un servidor web no necesita ninguna configuración

adicional. Sin embargo, para el caso de un servidor de archivos, las carpetas compartidas en la red
deben configurarse previamente para indicar a los usuarios que los archivos pueden estar
alojados en caché. BranchCache permite configurar una carpeta compartida en sus propiedades:
La activación de BranchCache
Para utilizar BranchCache en los equipos cliente, debemos primero activarlo. La activación de esta
característica se puede realizar por tres métodos:
Directivas de grupo (GPO): bastará con editar una GPO vinculada a una UO que contenga
los equipos deseados. Los parámetros de activación de BranchCache y configuración del
modo de caché se encuentran en la siguiente ubicación: Configuración del equipo -
Directivas - Plantillas administrativas - Red - BranchCache.
Comandos PowerShell: los comandos PowerShell siguientes permiten configurar

BranchCache en un cliente o un servidor Windows.
Verificar el modo de caché utilizado por el cliente:
Get-BCClientConfiguration
Configurar un equipo cliente Windows 8 u 8.1 para utilizar el modo de caché hospedada:
Enable-BCHostedClient -ServerNames <Nombre del servidor de caché>
Configurar un equipo cliente Windows 8 u 8.1 para utilizar el modo de caché distribuida:
Enable-BCDistributed
Configurar un servidor para convertirse en servidor de caché y registrar el punto de
conexión de servicio (SCP - Service Connection Point) en Active Directory:
Enable-BCHostedServer -RegisterSCP
Para obtener más información, consulte el sitio de Microsoft en la dirección

siguiente:http://technet.microsoft.com/en-us/library/hh848394%28v=wps.620%29.aspx
Comandos Netsh: los comandos Netsh siguientes permiten configurar BranchCache en un

cliente Windows.
Configurar un equipo cliente Windows 8 u 8.1 para utilizar el modo de caché hospedada:
netsh branchcache set service mode=hostedclient

location=<Nombre del servidor de caché>
Configurar un equipo cliente Windows 8 para utilizar el modo de caché distribuida:
netsh branchcache set service mode=distributed
No es posible aplicar los comandos netsh si alguna GPO ha configurado previamente el modo
de caché a emplear para el host definido.
Configuración del Firewall
Cuando los equipos cliente utilizan el modo de caché hospedada, el administrador debe configurar
un objeto GPO que permita configurar el Firewall autorizando el puerto de entrada 80:
Recuperación de contenido de BranchCache: permite la transferencia de datos en caché

del servidor a los equipos cliente empleando el protocolo de transporte HTTP.
Detección del mismo nivel de BranchCache: permite la detección de los equipos cliente
que albergan contenido en caché empleando el protocolo WS-Discovery.
Cuando los equipos cliente utilizan el modo de caché distribuida, el administrador debe configurar
un objeto GPO que permita configurar el Firewall autorizando el puerto de entrada 3702.
Publicación de Hash
Cuando un servidor de archivos posee el rol "BranchCache para archivos de red", es posible crear
una directiva de grupo con el objetivo de generar tablas de dispersión (hash) para los datos
compartidos (las tablas de dispersión (hash) representan información del contenido).
2. Modo de caché
Es posible configurar una infraestructura BranchCache según dos modos de caché. Caché
hospedada o caché distribuida. Es posible utilizar ambos modos al mismo tiempo en una
infraestructura de red compleja, pero solo uno de los dos modos puede estar activo en cada sitio
remoto.
En adelante, los datos puestos en caché se cifran de manera predeterminada.
a. Modo de caché hospedada
El modo de caché hospedada consiste en implementar un servidor de caché en el sitio remoto.

Cada recurso consultado por los usuarios en el servidor de archivos central (funciona también si se
trata de un acceso http/https a un servidor Web) puede alojarse en la caché local del servidor de
caché. Esto evita que otros usuarios descarguen de nuevo los archivos previamente consultados
mediante el ancho de banda WAN que conecta ambos sitios, sino accediendo a través de la red
local del sitio desplazado. Esta configuración de caché se utiliza con la tecnología BranchCache
cuando el sitio remoto contiene varios equipos de usuario.
Esquema de una infraestructura BranchCache empleando el modo de caché hospedada:
1. Un usuario del sitio Anexo de la empresa INFONOVICE intenta acceder a un

archivo compartido en el servidor de archivos de la central. El equipo cliente
consulta en primer lugar si existe una copia del archivo en la caché del servidor
de caché.
2. Si el archivo solicitado por el usuario no se encuentra en el servidor de caché, el

equipo cliente se conecta directamente al servidor de archivos de la central para
recuperar el recurso solicitado.
3. El recurso solicitado se copia en el servidor de caché a través del ancho de banda

WAN. El usuario accede, a continuación, a su archivo.
4. Otro usuario intenta acceder al mismo archivo solicitado previamente por su

colega. El equipo cliente de este usuario consulta el contenido del servidor de
caché para acceder a la copia en caché del recurso solicitado.
b. Modo de caché distribuida
El modo de caché distribuida consiste en autorizar a los equipos cliente a escribir en la caché local
de su disco una copia de los recursos consultados en el servidor de archivos de la central (funciona
también cuando se trata de un acceso http/https a un servidor Web). Este modo de escritura en
caché no requiere un servidor de caché en el sitio remoto. No es aconsejable utilizar este modo de
la tecnología BranchCache salvo que el sitio remoto cuente con pocos equipos de usuario.
Esquema de una infraestructura BranchCache empleando el modo de caché distribuida:
1. Un usuario del sitio Anexo de la empresa INFONOVICE intenta acceder a un

archivo compartido en el servidor de archivos de la central.
2. El archivo solicitado por el usuario se descarga a la caché local del equipo cliente
y el usuario accede a su archivo.
3. Otro usuario intenta acceder al mismo archivo solicitado previamente por su

colega. El equipo cliente de este usuario realiza una petición multicast para saber
qué equipo cliente de la red mantiene una copia del recurso en su caché local.
Una vez recuperada la información, el equipo cliente consulta el contenido de la
caché de su colega para acceder a la copia del archivo solicitado.
3. Implementar BranchCache
Para implementar BranchCache configurando los equipos cliente de los sitios remotos para utilizar
esta tecnología hay que configurar las directivas de grupo o ejecutar los comandos PowerShell o
Netsh en cada equipo.
Para configurar BranchCache empleando directivas de grupo, hay que editar la sección siguiente de
la GPO: Configuración del equipo - Directivas - Plantillas administrativas - Red - BranchCache.
Esta sección de la GPO permite:
Activar BranchCache.
Definir el modo de caché (distribuida u hospedada).
Activar la detección automática.
Configurar los servidores de caché hospedada.
Configurar BranchCache para los archivos de red.
Definir el porcentaje de espacio en disco asignado para la caché de un cliente.
Definir la antigüedad de los segmentos en la caché de datos.
Definir la actualización de la versión de BranchCache.

Trabajos prácticos
La empresa INFONOVICE desea actualizar su parque informático implementando varias
tecnologías relativas al almacenamiento de datos. Para satisfacer diversas necesidades, se le
pedirá configurar una solución de almacenamiento de red segura y optimizar la gestión y los
tiempos de acceso, tanto para los usuarios de la oficina central como en los sitios remotos.
Para el almacenamiento de los datos, la empresa ha seleccionado centralizar los datos en un

dispositivo de almacenamiento SAN. Al no poder probar esta tecnología en equipos físicos, una
infraestructura iSCSI servirá de maqueta para validar la solución.
En relación a la optimización del almacenamiento de datos, debemos prever la implementación

de funciones de clasificación, filtrado y desduplicación de datos.
Los equipos cliente ubicados en un sitio remoto se beneficiarán de un servidor de caché que
permite mejorar los tiempos de acceso a aquellos archivos utilizados con mayor frecuencia.
ISCSI-01: servidor de almacenamiento iSCSI para el dominio infonovice.priv
Disco de datos: 30 GB
CACHE-01: servidor de caché de archivos para el dominio infonovice.priv
FILES-01: servidor de archivos
1. Crear una infraestructura iSCSI

Este taller permite instalar y configurar las principales opciones del rol de servidor de archivos para
emplear iSCSI para convertir un servidor en un dispositivo de almacenamiento de red.
Configurar el servidor de destino
Paso 1: en el servidor ISCSI-01, abra el Administrador del servidor y haga clic en Agregar roles
y características.
Paso 2: haga clic en Siguiente para pasar las páginas Antes de comenzar, seleccione el tipo de
instalación y el servidor de destino.
Paso 3: en la ventana Seleccionar roles de servidor, despliegue el árbol del rol Servicios de
archivos y almacenamiento, marque a continuación la opción correspondiente al servicio de
rolServidor del destino iSCSI. Cuando el pop-up Agregar características para el Servidor del
destino iSCSI aparezca, haga clic en Agregar características y haga clic en Siguiente:
Paso 4: en la ventana Seleccionar características, haga clic en Siguiente.
Paso 5: en la página Confirmar selecciones de instalación, haga clic en Instalar y a

continuación en Cerrar cuando la instalación haya terminado.
Paso 6: en el panel del Administrador del servidor, haga clic en Servicios de archivos y
almacenamiento. A continuación, seleccione iSCSI.
Paso 7: en la sección Disco virtual iSCSI haga clic en Tareas y, a continuación, en Nuevo disco
virtual iSCSI.
Paso 8: en la ventana Seleccionar ubicación de disco virtual iSCSI seleccione el disco de

DATOS de 30 GB, y haga clic en Siguiente.
Paso 9: escriba iSCSI1-INFONOVICE en el campo Nombre y, a continuación, Disco virtual -
1en el campo Descripción y haga clic en Siguiente:
Paso 10: escriba 10 GB para el tamaño del disco virtual y, a continuación, haga clic en Siguiente:
Paso 11: seleccione Nuevo destino iSCSI y haga clic en Siguiente.
Paso 12: en el campo Nombre escriba DC-01 y, a continuación, en el

campo Descripción escribaDisco virtual para el servidor DC-01 y haga clic en Siguiente:
Paso 13: en la sección Servidores de acceso, haga clic en Agregar para definir los servidores
(Iniciador iSCSI) con autorización para conectarse al disco virtual.
Paso 14: en la ventana Agregar id. de iniciador, seleccione la opción Consultar el id. al equipo
de iniciador en el equipo iniciador y haga clic en Examinar.
Paso 15: en la ventana Seleccionar Equipo, escriba el nombre del servidor DC-01 y, a
continuación, haga clic en Aceptar dos veces.
Paso 16: se genera el IQN del servidor iniciador, a continuación haga clic en Siguiente (recuerde
apunta el IQN generado para el resto del taller).
Paso 17: en la ventana Habilitar autenticación, haga clic en Siguiente y, a continuación, haga
clic en Crear:
Paso 18: una vez creado el disco virtual, haga clic en Cerrar.
Repita las etapas 6 a 18 para crear el disco virtual ISCSI-02 de 10 GB con iniciador autorizado,
el servidor DC-01.
Configurar el cliente iSCSI
Paso 1: en el servidor DC-01, vaya a las herramientas administrativas y arranque la

consolaIniciador iSCSI, a continuación haga clic en Sí para iniciar el servicio Windows asociado.
Paso 2: en la pestaña Destinos, sección Conexión rápida, escriba el nombre del servidor de
destino (ISCSI-01), en el que los discos virtuales han sido creados, y haga clic en Conexión
rápida.
Paso 3: se abre la ventana Conexión rápida indicando el IQN descubierto en el destino. La

consola se conecta automáticamente al servidor de destino. Haga clic en Cerrar.
Paso 4: en la ventana Propiedades: Iniciador iSCSI, verifique que el IQN descubierto en el

servidor de destino tiene un estado que muestra Conectado, en la sección Destinos detectados.
Paso 5: haga clic en Aceptar para cerrar la ventana Iniciador iSCSI.
Paso 6: abra la consola Administrador del servidor, haga clic en Herramientas y, a

continuación, en Administración de equipos.
Paso 7: despliegue el árbol de la consola y, a continuación, en la

sección Almacenamientoseleccione Administración de discos.
Paso 8: en el centro de la ventana de la consola Administración de equipos podemos ver los
dos discos virtuales creados previamente en el servidor de destino. Estos discos están
conectados pero aparecen en un estado Sin conexión.
Paso 9: haga clic con el botón derecho (en la parte gris, bajo el nombre de los discos) en cada
disco virtual conectado y, a continuación, haga clic en En línea:
Paso 10: el estado de los discos se muestra como Sin inicializar. Haga de nuevo clic con el
botón derecho en un disco virtual y haga clic en Inicializar disco:
Paso 11: verifique que los dos discos virtuales están seleccionados, marque a continuación la
opción GPT (Tabla de particiones GUID) para seleccionar el tipo de partición y haga clic
enAceptar:
Paso 12: los discos muestran ahora un estado en línea. Haga clic con el botón derecho sobre un
disco y, a continuación, haga clic en Nuevo volumen simple...:
Paso 13: haga clic cuatro veces en Siguiente y haga clic en Finalizar para dar formato a los
discos virtuales.
Paso 14: el disco formateado estará visible, en lo sucesivo, en el explorador de Windows y listo
para ser utilizado. Repita las etapas 12 y 13 para formatear el segundo disco virtual:
2. Implementar BranchCache
Este taller permite instalar, configurar y desplegar BranchCache utilizando el modo de caché
hospedada en una red que posee un sitio remoto. Para realizar este taller, tendrá que crear la UO
INFONOVICE\Equipos para incluir aquí las cuentas de los equipos CLIENT1 y CLIENT2, y crear, a
continuación, la UO INFONOVICE\Servidores para incluir el servidor de archivos FILES-01.
Configurar el servidor de archivos
Paso 1: en el servidor de archivos FILES-01, abra el Administrador del servidor y haga clic
enAgregar roles y características.
Paso 2: haga clic tres veces en Siguiente, despliegue el árbol del servicio de rol de
archivosServicios de archivos y almacenamiento - Servicios de iSCSI y archivo y, a
continuación, marque la opción BranchCache para archivos de red. En la ventana Asistente
para agregar roles y características, haga clic en Agregar características.
Paso 3: haga clic dos veces en Siguiente y, a continuación, en Instalar.

Paso 4: haga clic en Cerrar una vez concluida la instalación.
Configurar el servidor de caché
Paso 1: en el servidor CACHE-01 (situado en el sitio remoto), abra el Administrador del servidor
y haga clic en Agregar roles y características.
Paso 2: haga clic cuatro veces en Siguiente, marque la opción BranchCache y, a continuación,
haga clic dos veces en Siguiente e Instalar:
Paso 3: haga clic en Cerrar cuando la instalación de la característica BranchCache haya

terminado.
Paso 4: abra un símbolo del sistema PowerShell y escriba el siguiente comando:
Enable-BCHostedServer -RegisterSCP
Paso 5: verifique que el estado del servicio BranchCache es arrancado escribiendo el siguiente
comando PowerShell: Get-BCStatus
El parámetro BranchCacheIsEnableddebe devolver el valor: True
El parámetro BranchCacheServiceStatusdebe devolver el valor: Running

Activar BranchCache
Este procedimiento permite activar la funcionalidad BranchCache en los equipos cliente.
Paso 1: en el controlador de dominio DC-01, abra la consola Administración de directivas de

grupo empleando las herramientas administrativas.
Paso 2: despliegue el árbol de la consola, haga clic con el botón derecho en la

UOINFONOVICE\Equipos y haga clic en Crear un GPO en este dominio y vincularlo aquí.
Paso 3: escriba Activación - BranchCache en el campo Nombre y haga clic en Aceptar:
Paso 4: haga clic con el botón derecho en el objeto GPO previamente creado y haga clic enEditar.

equipo - Directivas - Plantillas administrativas - Red - BranchCache.
Paso 6: haga doble clic en el parámetro Activar BranchCache para editarlo y, a continuación,
marque la opción Habilitada y haga clic en Aceptar:
Paso 7: haga doble clic en el parámetro Habilitar detección automática de caché hospedada
mediante un punto de conexión de servicio para editarlo y, a continuación, marque la
opciónHabilitada y haga clic en Aceptar:
Paso 8: cierre la consola Editor de administración de directivas de grupo.
Paso 9: abra una ventana de símbolo del sistema en cada equipo cliente para escribir el
siguiente comando: gpupdate /force.
Configurar el modo de caché
Este procedimiento permite configurar el modo de caché utilizado por los clientes cuando se ha
habilitado la funcionalidad BranchCache.


Paso 3: escriba Modo de caché - BranchCache en el campo Nombre y haga clic en Aceptar:

equipo - Directivas - Plantillas administrativas - Red - BranchCache.
Paso 6: haga doble clic en el parámetro Establecer el modo Caché hospedada de

BranchCachepara editarlo y, a continuación, marque la opción Habilitada. Escriba CACHE-01 en el
campoEscribir el nombre del servidor de caché hospedada y haga clic en Aceptar:
Paso 7: haga doble clic en el parámetro Configurar BranchCache para archivos de red para
editarlo y, a continuación, marque la opción Habilitada. Introduzca el valor 0 en el campo Escribir
la latencia de red de ida y vuelta máxima tras la cual comienza el almacenamiento en
cachépara forzar a BranchCache a actualizar la cache con todos los archivos recuperados de la
red. Haga clic en Cerrar.
Paso 9: en la consola Administración de directiva de grupo, seleccione la UO Equipos, haga clic

con el botón derecho y haga clic en Actualización de directiva de grupo. Haga clic a continuación
en Sí para aplicar la actualización de la directiva de grupo en los equipos cliente.
Configurar las carpetas compartidas
Para autorizar la actualización en caché de una carpeta compartida, debemos activar BranchCache en
la carpeta correspondiente.
Paso 1: en el servidor de archivos FILES-01, cree una nueva carpeta llamada Compartidas en la
raíz del disco C:\.
Paso 2: haga clic con el botón derecho en la carpeta compartida y haga clic en Propiedades.
Paso 3: seleccione la pestaña Compartir y haga clic en Uso compartido avanzado.
Paso 4: en la ventana Uso compartido avanzado, marque la opción Compartir esta carpeta y, a
continuación, en Permisos.
Paso 5: marque la opción Permitir del permiso Control total para todos y, a continuación, haga
clic en Aceptar.
Paso 6: en la ventana Uso compartido avanzado, haga clic en Caché.
Paso 7: en la ventana Configuración sin conexión, marque la opción Habilitar BranchCache y

haga clic en Aceptar:
Paso 8: haga clic dos veces en Aceptar para cerrar las ventanas de las propiedades de la
carpeta compartida.
Paso 9: repita los pasos 2 al 8 en el conjunto de las carpetas compartidas que desee hacer
compatibles con la tecnología BranchCache.
Configure el hash
Para autorizar a un servidor de archivos que utiliza la tecnología BranchCache para generar la
información de contenido llamada Hash, es necesario crear previamente la siguiente directiva de
grupo y aplicarla a los servidores de archivos concernientes. Los servidores de archivos deben
moverse y ubicarse en una nueva UO llamada Servidores.

Paso 2: despliegue el árbol de la consola, haga clic con el botón derecho en la UO

INFONOVICE\Servidores y haga clic en Crear un GPO en este dominio y vincularlo aquí.
Paso 3: escriba Hash - BranchCache en el campo Nombre y haga clic en Aceptar:

equipo - Directivas - Plantillas administrativas - Red - Servidor Lanman:
Paso 6: haga doble clic en el parámetro Publicación de hash para BranchCache para editarlo,
marque la opción Habilitado y, a continuación, seleccione el valor Permitir la publicación de
hash para todas las carpetas compartidas. Haga clic en Siguiente.
Paso 8: en el servidor FILES-01 abra un símbolo del sistema DOS y, a continuación, escriba el
siguiente comando gpupdate /forcey reinicie el equipo.
Configurar el firewall de los clientes


Paso 3: escriba Firewall - BranchCache en el campo Nombre y haga clic en Aceptar:


equipo - Directivas - Configuración de Windows - Configuración de seguridad - Firewall de
Windows con seguridad avanzada - Firewall de Windows con seguridad avanzada - Reglas de
entrada.
Paso 6: haga clic con el botón derecho en Reglas de entrada y, a continuación, haga clic
enNueva regla.
Paso 7: marque la opción Predefinida y, a continuación, seleccione la regla BranchCache -

recuperación de contenido (usa HTTP) y haga clic en Siguiente:
Paso 8: en la ventana Reglas predefinidas, verifique la información mostrada y haga clic
enSiguiente.
Paso 9: en la ventana Acción, marque la opción Permitir la conexión y, por último, en Finalizar.
Paso 10: la regla aparece, a continuación, con una marca de verificación verde:
Paso 11: cree una nueva regla de entrada como se indica en los pasos 5 y 6. Marque la
opciónPredefinida y, a continuación, seleccione la regla BranchCache - detección del mismo
nivel (usa WSD) y haga clic en Siguiente:
Paso 12: en la ventana Reglas predefinidas, verifique la información mostrada y haga clic
enSiguiente.
Paso 13: en la ventana Acción, marque la opción Permitir la conexión y, a continuación, haga
clic en Finalizar.
Paso 14: la regla aparece, a continuación, con una marca de verificación verde:
Paso 16: actualice las directivas de grupo en los equipos cliente ejecutando el
comando gpupdate /forcedesde un símbolo del sistema.
Validar la configuración
El siguiente procedimiento permite simular una conexión lenta con el sitio remoto. Esta operación solo
se debe realizar en un entorno de prueba para validar el funcionamiento de BranchCache en una
maqueta.
Paso 1: en el servidor de archivos FILES-01, escriba el comando siguiente para abrir el Editor de
directivas de grupo local: gpedit.msc.
Paso 2: despliegue el árbol de la consola desde el nodo siguiente: Configuración del equipo -
Configuración de Windows. Seleccione QoS basada en directiva, haga clic con el botón derecho
y haga clic en Crear nueva directiva:
Paso 3: en el campo Nombre de directiva escriba Prueba conexión lenta. Marque la
opciónEspecificar velocidad de salida del acelerador y escriba el valor 56 Kbits/s para simular
un sitio remoto conectado a la central a través de un modem de 56K. A continuación, haga clic
tres veces en Siguiente y por último en Finalizar:
Paso 4: verifique que la directiva de QoS llamada Prueba conexión lenta aparece en la
consolaEditor de directivas de grupo local y, a continuación, cierre la ventana:
Paso 5: en el servidor de archivos FILES-01, copie el archivo C:\Windows\System32\mmc.exe, en
la carpeta C:\Compartir creada en la etapa 6.2.5.
Paso 6: abra una sesión en el equipo CLIENT1 y navegue hasta la carpeta de red
siguiente:\\FILES-01\Compartir\
Paso 7: copie el archivo mmc.exe en el escritorio del equipo CLIENT1. Preste atención, el archivo
tardará un momento antes de copiarse en el escritorio debido a la directiva QoS implementada en
copiar la etapa anterior.
Paso 8: inicie una sesión en el equipo CLIENT2, navegue a la carpeta de red \\FILES-
01\Compartiry copie el archivo mmc.exe en el escritorio. Comprobará que el archivo tarda menos
tiempo en copiarse.
En este capítulo hemos visto todos los aspectos relacionados con los servicios de archivos avanzados
en Microsoft Windows Server 2012 R2. Podría resumirse de la siguiente manera:
Windows Server 2012 R2 gestiona varios tipos de formato de partición, tales como ReFS o
NTFS.
El complemento Administrador de recursos del servidor de archivos permite administrar todos

los aspectos y tareas administrativas de un servidor de archivos. En particular, es posible
gestionar cuotas, filtros, la clasificación o la desduplicación de datos.
BranchCache es una tecnología que permite poner en caché los archivos más utilizados por los
usuarios remotos.
BranchCache puede funcionar según dos modos. El modo de caché hospedada, que necesita
un servidor de caché en el sitio remoto, o el modo de caché distribuida, que consiste en poner
en caché los archivos de manera local en el equipo cliente que haya realizado una petición de
acceso al recurso.
preguntas.
1. Preguntas
1 ¿Qué es un grupo de almacenamiento?
2 ¿Cuál es el puerto de comunicaciones predeterminado del servicio Iniciador iSCSI?
3 ¿Cuántas rutas diferentes es capaz de gestionar la consola Iniciador iSCSI?
4 ¿Para qué se emplean las cuotas en un servidor de archivos?
5 ¿Para qué sirve la clasificación de archivos?
6 ¿Para qué sirve la desduplicación de archivos?
7 ¿Cómo se llama la consola de administración que permite conectarse con un servidor de

destino iSCSI?
8 ¿Qué es un IQN?
9 ¿Qué es una cuota máxima?
10 ¿Qué es una cuota de advertencia?
11 ¿Qué es un filtrado activo?
12 ¿Qué es un filtrado pasivo?
13 ¿Para qué sirven los informes de almacenamiento?
14 ¿Qué es la tecnología BranchCache?
15 En la implementación de BranchCache, ¿qué es el modo de caché hospedada?
16 En la implementación de BranchCache, ¿qué es el modo de caché distribuida?
2. Resultados
punto.
3. Respuestas
1 ¿Qué es un grupo de almacenamiento?
Un grupo de almacenamiento es una agrupación de varios discos físicos que permite crear discos
virtuales. El sistema operativo verá estos discos como discos lógicos y será posible crear
particiones en ellos.
2 ¿Cuál es el puerto de comunicaciones predeterminado del servicio Iniciador iSCSI?
Por defecto, el servicio Iniciador iSCSI envía los comandos iSCSI a un servidor de destino
empleando el puerto 3260.
3 ¿Cuántas rutas diferentes es capaz de gestionar la consola Iniciador iSCSI?
Mediante la tecnología Microsoft Multipath I/O (MPIO), la consola Iniciador iSCSI es capaz de
gestionar 32 rutas de acceso diferentes a los servidores de destino.
4 ¿Para qué se emplean las cuotas en un servidor de archivos?

Las cuotas permiten limitar el uso del espacio en disco de un volumen lógico o de una carpeta
empleando la consola Administrador de recursos del servidor de archivos.
5 ¿Para qué sirve la clasificación de archivos?
La clasificación de archivos permite asignar automáticamente propiedades de clasificación

adicionales a los datos almacenados. Estas propiedades pueden utilizarse en el marco de la gestión
de los archivos o del uso de la función de control de acceso dinámico.
6 ¿Para qué sirve la desduplicación de archivos?
La desduplicación de datos permite buscar y eliminar los datos duplicados sin comprometer su
integridad.
7 ¿Cómo se llama la consola de administración que permite conectarse con un servidor de

destino iSCSI?
La consola Iniciador iSCSI permite conectar un servidor a varios destinos iSCSI.
8 ¿Qué es un IQN?
Un IQN (iSCSI Qualified Name) es un nombre único que identifica un servidor de destino o un
iniciador iSCSI. Este último se genera automáticamente en función del nombre del servidor y el
nombre DNS del dominio.
9 ¿Qué es una cuota máxima?
Una cuota máxima permite impedir que los usuarios superen el límite de almacenamiento fijado
por el administrador.
10 ¿Qué es una cuota de advertencia?
Una cuota de advertencia permite a los usuarios superar el límite de almacenamiento fijado por el
administrador con objeto de analizar el uso del espacio de almacenamiento.
11 ¿Qué es un filtrado activo?
Un filtrado activo permite impedir a los usuarios almacenar archivos no autorizados definidos en
una regla de filtrado.
12 ¿Qué es un filtrado pasivo?
Un filtrado pasivo permite a los usuarios almacenar los archivos no autorizados por el
administrador, pero con el objeto de analizar el uso del almacenamiento empleando los informes.
Estos informes permiten incluir aquellos usuarios que almacenan archivos no deseados en la red.
13 ¿Para qué sirven los informes de almacenamiento?
Un informe de almacenamiento permite visualizar las estadísticas de uso del servidor de archivos.
Esto permite identificar rápidamente los archivos de mayor tamaño.
14 ¿Qué es la tecnología BranchCache?
La tecnología BranchCache permite reducir el uso del ancho de banda poniendo en caché los
archivos que se utilizan con mayor frecuencia.
15 En la implementación de BranchCache, ¿qué es el modo de caché hospedada?
El modo de caché hospedada funciona con un servidor de caché en el sitio remoto. Cada archivo
consultado por los usuarios del sitio remoto puede alojarse en la caché del servidor de caché para
que los demás usuarios puedan acceder localmente al archivo sin tener que utilizar el ancho de
banda WAN.
16 En la implementación de BranchCache, ¿qué es el modo de caché distribuida?
El modo caché distribuida permite autorizar a los equipos cliente a almacenar en su caché local los
archivos consultados. Cada equipo cliente realiza una petición de acceso a un archivo consultado
previamente por los compañeros de la misma red para saber si alguno posee la copia del archivo en
caché.
Conocer las bases del control de acceso NTFS.
Conocer las bases de la gestión de archivos y carpetas.
2. Objetivos
Saber configurar los recursos para el control de acceso dinámico.
Saber instalar y configurar el control de acceso dinámico.

Control de acceso dinámico
El control de acceso dinámico (DAC: Dynamic Access Control) es una nueva funcionalidad de Windows
Server 2012 R2 dedicada a la gestión de los permisos de acceso a los recursos (archivos o carpetas).
Esta funcionalidad de servidor permite extender y refinar el control de acceso a los recursos
(tradicionalmente realizado mediante los permisos NTFS) añadiendo controles adicionales tales como
directivas de acceso, prioridades personalizadas, expresiones condicionales y otros tipos de
"notificaciones" (en la versión inglesa, el menú Windows utiliza la palabra "Claims", es decir,
notificaciones).
1. Presentación de DAC
La seguridad NTFS ha supuesto una revolución en la gestión de los permisos de acceso a los
recursos de un servidor de archivos. Sin embargo, esta tecnología se ha visto más bien limitada para
ciertos casos concretos. En algunas grandes infraestructuras donde la seguridad es crucial, la
gestión de permisos NTFS puede considerarse insuficiente siendo demasiado restrictiva o bien
insuficiente. Por esta razón Microsoft ha creado la tecnología de control de acceso dinámico para
aportar a los administradores herramientas adicionales que complementan a los permisos NTFS. El
DAC permite afinar los permisos de acceso a los recursos mediante un nuevo componente del
servidor.
2. Funcionamiento de DAC
El control de acceso funciona de manera conjunta con la tecnología de gestión de permisos de
acceso NTFS (ampliamente extendida y utilizada en las anteriores versiones de Windows). En la
mayoría de las empresas, los administradores configuran cada recurso modificando una lista de
control de acceso, también llamada ACL (Access Control List). Las ACL permiten, por ejemplo, definir
grupos o usuarios con permisos de lectura, escritura o modificación sobre un recurso.
Esquema global indicando la atribución de permisos NTFS (ACL):
Para gestionar el acceso a los recursos, hay que planificar y configurar previamente una directiva de
acceso central que se aplicará a los servidores que albergarán los recursos a proteger. Esto no
exime del uso y configuración de las tradicionales ACL provistas para la seguridad NTFS. El control de
acceso dinámico combina ambas tecnologías. Cuando un usuario solicita un acceso a los recursos de
una infraestructura que utiliza DAC, debe no solamente cumplir con las demandas impuestas por las
ACL (seguridad NTFS clásica) sino además con las condiciones fijadas por la directiva de acceso
central configurada en el control de acceso dinámico. Si se verifican las condiciones impuestas por
ambas tecnologías, el usuario podrá entonces acceder al recurso solicitado.
Además de basarse en las ACL, el control de acceso dinámico puede también utilizar la información
de clasificación de un objeto para autorizar o no el acceso en función de la directiva de acceso
central definida para el recurso. Por ejemplo, es posible autorizar el acceso a los recursos donde la
propiedad de clasificación indique "SECRETO DEFENSA" solamente a los miembros del grupo
DIRECCIÓN.
Para autorizar a un usuario acceder a un recurso, el DAC se basa también en los servicios de
dominio Active Directory (AD DS), mediante una autenticación Kerberos V5.
Una vez implementado el control de acceso dinámico, podemos realizar las acciones siguientes:
Definir una directiva de acceso a los recursos:
Permite definir las directivas de acceso central.
Permite definir las reglas de acceso para acceder a los recursos.
Definir una directiva de securización de los datos:
Permite cifrar los datos empleando la característica AD RMS.
Permite ocultar las carpetas compartidas para que se visualicen solamente aquellas
carpetas sobre las que el usuario tiene permisos de acceso.
Definir una directiva de auditoría:
Permite auditar los accesos autorizados sobre un recurso.
Permite auditar los accesos denegados sobre un recurso para saber qué usuario ha
intentado acceder.
Permite auditar el tipo de equipo o componente del equipo que ha intentado acceder o
bien accedido al recurso.
Definir una directiva de comunicación:
Permite personalizar los mensajes de error enviados al usuario durante un acceso

denegado. El mensaje puede indicar la razón para denegar el acceso al recurso, o un
contacto para solicitar permisos de acceso. Es posible implementar una comunicación por e-
mail para contactar directamente con el departamento adecuado.
a. Notificaciones
El control de acceso dinámico puede basarse, también, en notificaciones de Usuario (User Claims) o
notificaciones de Equipo (Device Claims):
Notificaciones de usuario: corresponde a la información disponible como un conjunto de

atributos acerca de una cuenta de usuario en el directorio Active Directory.
Notificaciones de equipo: corresponde a la información disponible como un conjunto de

atributos acerca de una cuenta de equipo en el directorio Active Directory.
Por ejemplo, mediante las notificaciones especificadas en una directiva de acceso dinámico
podemos autorizar a un usuario a acceder a un archivo si pertenece al departamento
CONTABILIDAD y si su equipo tienen una particularidad específica, como el sistema operativo u
otras características.
b. Directiva de acceso central
Una directiva de acceso central permite definir todas las condiciones de acceso a un recurso. Esta
directiva puede aplicarse sobre uno o varios archivos o carpetas.
Las directivas de acceso se crean mediante la consola de administración ADAC (Active Directory
Administrative Center), se aplican, a continuación, mediante GPO (Group Policy Object). Cada
directiva de acceso central contiene una o varias reglas de acceso central y cada regla contiene los
parámetros que determinan las condiciones de acceso a un recurso. Cuando se emite la directiva
de acceso central, es obligatorio configurar las propiedades del recurso a proteger. Para ello,
basta con asignar la directiva adecuada en las opciones avanzadas de la pestaña Seguridad de
las propiedades del recurso.
La creación de una directiva de acceso central requiere la configuración de los siguientes campos:
Un nombre: permite identificar de manera más sencilla la regla de acceso central.
Miembro: permite identificar las reglas de acceso central que componen la directiva de
acceso central.
Extensiones: permite definir los permisos.
c. Regla de acceso central
Una regla de acceso central permite definir el alcance del recurso de destino. La limitación de los
permisos de acceso está definida mediante condiciones que validan el acceso o no a un recurso.
La creación de una regla de acceso central requiere la configuración de los siguientes campos:
Un nombre: permite identificar de manera más sencilla la regla de acceso central.
Recursos de destino: contiene una lista de criterios que delimitan los recursos.
Permisos: permite indicar a qué grupo de usuarios se aplica la directiva de acceso.
Extensiones: permite definir los permisos.
La sección Permisos propuestos propone un conjunto de permisos definidos por el sistema. Estas
propuestas aleatorias respetan las mejores prácticas del fabricante y pueden aplicarse
directamente reemplazando los permisos actuales. La acción de aceptar los permisos propuestos
reemplazando los actuales no es irreversible. Es posible revertirlas en todo momento, desde la
sección Permisos actuales.
3. Gestión del DAC

El control de acceso dinámico se gestiona a través de la consola Centro de administración de
Active Directory (disponible en las herramientas administrativas del sistema operativo o desde el
Administrador del servidor).
En esta consola, el nodo Control de acceso dinámico ofrece el acceso a las siguientes opciones:
Central Access Policies: esta opción contiene las directivas de acceso central. Cada directiva
contiene las reglas de acceso central que determinan los grupos o usuarios con acceso a los
recursos a securizar.
Central Access Rules: esta opción contiene las reglas de acceso central que definen los
atributos de permisos de acceso a los recursos. El acceso está definido mediante condiciones
que especifican los recursos sobre los que se aplica la regla. Las reglas de acceso central se
utilizan en una directiva de acceso central.
Claim Types: esta opción contiene los diferentes tipos de notificaciones creadas para los
usuarios o los equipos. Las notificaciones permiten, en particular, especificar los atributos de
los objetos que deseamos emplear para verificar un acceso.
Resource Properties: esta opción contiene varias propiedades de recursos predefinidas que
se encuentran desactivadas por defecto. La lista permite responder a varios casos prácticos y
también es posible crear nuevas propiedades de recursos personalizadas.
Resource Property Lists: esta opción contiene una lista de propiedades de recursos
llamadaGlobal Resource Property List. Una lista de propiedades de recursos contiene todas las
propiedades de recursos que pueden utilizarse en las reglas de clasificación o de acceso
central.
El control de acceso dinámico puede utilizar la clasificación de los recursos para controlar el acceso.
Se utiliza, en este caso, la consola Administración de recursos del servidor de archivos junto a la
consola Active Directory Administration Center.
Cuando se publica una directiva de acceso central empleando directivas de grupo, es posible
verificar previamente o reparar el acceso a los recursos mediante la pestaña Acceso efectivo. Esta
pestaña es accesible desde la configuración avanzada de los permisos NTFS de un recurso:
4. Implementación del DAC

La implementación del control de acceso dinámico requiere un pequeño estudio para planificar el
ámbito a controlar, las directivas de auditoría y el acceso a los recursos. El despliegue de esta
tecnología en servidores de archivos pueden no tener éxito si está mal preparada. Para evitar a los
equipos de soporte intervenciones frecuentes vinculadas a problemas de acceso a los archivos,
recuerde preparar el despliegue del control de acceso dinámico.
Para implantar el control de acceso dinámico, hay que realizar previamente los siguientes pasos:
1. Configurar una directiva de grupo para habilitar el soporte del controlador de

dominio Kerberos para las notificaciones, la autenticación compuesta y la
protección Kerberos.
2. Crear una notificación destinada a los objetos Usuarios o Equipos especificando

los atributos necesarios para efectuar la verificación por parte del control de
acceso dinámico.
3. Activar o crear las propiedades de los recursos adecuados. Una propiedad de

recurso es un atributo que se configura en las propiedades de un recurso durante
el uso de la clasificación de archivos. Por ejemplo, tomemos el caso de un
administrador que desea proporcionar acceso a ciertos archivos solo a aquellos
usuarios cuyo equipo pertenece al departamento de RRHH. Para ello, debe crear
una propiedad de recurso que especifica los atributos a configurar en el archivo o
carpeta teniendo cuidado de indicar el valor posible para este atributo de
clasificación. De este modo, durante la ejecución de la clasificación de archivos, el
administrador puede configurar el proceso indicando que solo los archivos que
contienen la palabra HR se pueden etiquetar con el atributo de clasificación
definido en la propiedad de recurso así como su valor asociado.
4. Crear una o más reglas de acceso central. Estas reglas definen los recursos
impactados mediante las condiciones de acceso.
5. Crear un objeto de directiva de acceso central y definir la configuración.
6. Crear y configurar una directiva de grupo (GPO) para desplegar en los servidores
de archivo afectados. Refrescar las directivas de grupo en los servidores de
archivo (gpupdate /force).
7. En el servidor de archivos, aplicar las directivas de acceso a una carpeta

compartida específica.
También es posible emplear la consola de administración de las clasificaciones de datos para aplicar
las directivas de acceso central automáticamente a través de varios servidores de archivos y, de
esta manera, generar informes sobre las directivas aplicadas.
Trabajos prácticos
La empresa INFONOVICE posee un servidor de archivos que almacena el conjunto de los archivos y
carpetas de la empresa. Los usuarios acceden a los recursos securizados empleando el tradicional
sistema de seguridad NTFS. El departamento de Recursos Humanos posee archivos y otro tipo de
información sensible para el conjunto de colaboradores. Por este motivo, se le necesita para
implementar una solución que aporte un mayor nivel de seguridad en la integridad y el acceso a los
datos, aunque el directorio dedicado a RRHH se encuentre ya securizado con permisos NTFS. Como
administrador, es responsable de implementar un control de acceso dinámico para que solo los
usuarios del departamento de RRHH puedan tener acceso a la carpeta compartida RH_FILES. Todos
los intentos de acceso a la carpeta dedicada al departamento de RRHH deberán ser auditados para
conocer la identidad de las personas a las que se haya denegado el acceso a los datos
confidenciales. Los usuarios con acceso a la carpeta compartida RH_FILES solo pueden acceder desde
aquellos equipos que pertenezcan al grupo de seguridad de dominio local GL_RH_Computers. Los
demás empleados almacenan sus archivos en un directorio compartido llamado COMÚN. Esta carpeta
deberá estar, también, securizada. Los usuarios pertenecientes a la dirección de la empresa deberán
poder consultar todos los documentos.
DC-01: Controlador de dominio infonovice.priv, servidor DNS
FILES-01: Servidor de archivos, Administrador de los recursos del servidor de archivos
CLIENT1: Equipo cliente número 1
CLIENT2: Equipo cliente número 2
Puerta de enlace predeterminada común al conjunto de los equipos: 192.168.0.254
Requisitos previos del taller:
Instale y configure el controlador de dominio DC-01 en el dominio infonovice.priv.
Instale y configure el servidor de archivos FILES-01 como servidor miembro del dominio
infonovice.priv, en la UO INFONOVICE\Equipos.
Instale y configure los equipos cliente CLIENT1 y CLIENT2 en el dominio infonovice.priv, en la

UOINFONOVICE\Equipos.
Edite las propiedades de las cuentas de equipo informando los campos Descripción con RRHH para
el equipo CLIENT1 y EMPLEADOS para el equipo CLIENT2.
Cree un grupo de seguridad global en la UO INFONOVICE\Grupos llamado GG_RH_Computers con

el equipo CLIENT1 como miembro.
Cree un grupo de seguridad global en la

UO INFONOVICE\Grupos llamado GG_Users_Computerscon el equipo CLIENT2 como miembro.
Cree un grupo de seguridad global en la UO INFONOVICE\Grupos llamado GG_DIRECTION_Users.
Cree un grupo de seguridad global en la UO INFONOVICE\Grupos llamado GG_RH_Users.
Cree un grupo de seguridad de dominio local en la UO INFONOVICE\Grupos llamado GL_RH_Users.
El grupo GG_RH_Users debe ser miembro del grupo GL_RH_Users.
Cree una cuenta de usuario en la UO INFONOVICE\RRHH llamado Juan DUPONT (Login: jdupont),
miembro del grupo GG_RH_Users.
Edite las propiedades de la cuenta de usuario Juan DUPONT, vaya a la pestaña Organización y
en el campo Departamento indique RRHH.
Cree una cuenta de usuario en la UO INFONOVICE\Usuarios llamada Marcos LABLANCA (Login:

mlablanca), que sea miembro solamente del grupo Usuarios del dominio.
Edite las propiedades de la cuenta de usuario Marcos LABLANCA, vaya a la

pestaña Organizacióny en el campo Departamento indique EMPLEADOS.
Cree una cuenta de usuario en la UO INFONOVICE\Dirección llamada Luis PAREDES (Login:

lparedes), miembro del grupo GG_DIRECTION_Users.
Edite las propiedades de la cuenta de usuario Luis PAREDES, vaya a la pestaña Organización y
en el campo Departamento indique DIRECCIÓN.
Cree la carpeta compartida E:\RH_FILES.
Cree la carpeta compartida E:\COMÚN.
El usuario Juan DUPONT es miembro del departamento de recursos humanos. Este usuario utiliza el
equipo CLIENT1 y debe tener acceso a la carpeta compartida RH_FILES.
El usuario Marcos LABLANCA es un simple usuario del dominio. Este usuario utiliza el equipo CLIENT2 y
no debe tener acceso a la carpeta compartida RH_FILES. Solo debe tener acceso a la carpeta
compartida COMÚN.
1. Configurar Kerberos
Este taller tiene como objetivo activar el soporte del controlador de dominio Kerberos para las
notificaciones, la autenticación compuesta y la protección Kerberos para poder utilizar el control de
acceso dinámico.
Paso 1: abra una sesión de administrador en el controlador de dominio DC-01. Arranque

elAdministrador del servidor y, a continuación, en el menú Herramientas, haga clic
enAdministración de directivas de grupo. En la consola, haga clic con el botón derecho en la UO
INFONOVICE\Direccion y, a continuación, haga clic en Bloquear herencia.
Paso 2: despliegue el árbol de la consola y edite la directiva de grupo Default Domain

Controllers Policy (ubicada en la UO Domain Controllers) haciendo clic con el botón derecho en
ella y, a continuación, haciendo clic en Editar.

equipo - Directivas - Plantillas administrativas - Sistema - KDC.
Paso 4: edite el parámetro KDC admite notificaciones, autenticación compuesta y protección

de Kerberos. Marque la opción Habilitada y, a continuación, en la
sección Opciones seleccioneCompatible y haga clic en Aceptar:
Paso 5: cierre el Editor de administración de directivas de grupo. Haga clic con el botón derecho
en la UO Domain Controllers y haga clic en Actualización de directiva de grupo.
Paso 6: cuando la actualización de la directiva de grupo haya concluido con éxito en el

controlador de dominio DC-01 podrá cerrar la consola Administración de directivas de grupo.
2. Crear las notificaciones

Este taller tiene como objetivo crear las notificaciones de usuario y equipo. La notificación Usuario se
basará en el atributo Departamento correspondiente al departamento al que pertenece un usuario. La
notificación Equipo se basará en el atributo Descripción correspondiente al departamento al que
pertenece el equipo cliente.
Creación de una notificación de usuario

elAdministrador del servidor y, a continuación, en el menú Herramientas, haga clic en Centro
de administración de Active Directory.
Paso 2: en el panel de la izquierda haga clic en el nodo Control de acceso dinámico.

Paso 3: abra la carpeta Claim Types y, a continuación, en la sección Tareas del panel derecho,
haga clic en Nuevo, y seleccione Tipo de notificación:
Paso 4: en la sección Atributo de origen, marque el tipo de notificación Usuario y Equipo y

seleccione el atributo Department. A continuación, haga clic en Aceptar:
La notificación Usuario y Equipo aparece, ahora, en la consola Active Directory Administrative Center:
Creación de una notificación de equipo

Paso 2: en el panel de la izquierda haga clic en el nodo Control de acceso dinámico.
Paso 3: abra la carpeta Claim Types y, a continuación, en la sección Tareas del panel derecho,
haga clic en Nuevo, y seleccione Tipo de notificación:
Paso 4: en la sección Atributo de origen, desmarque el tipo de notificación Usuario, marque a
continuación, el tipo de notificación Equipo y seleccione el atributo description. A continuación,
La notificación Equipo aparece, ahora, en la consola ADAC:
3. Configurar las propiedades

Este taller tiene como objetivo configurar las propiedades de los recursos.
Etapa 1: abra una sesión de administrador en el controlador de dominio DC-01. Arranque

Paso 2: en el panel de la izquierda, haga clic en el nodo Control de acceso dinámico.
Paso 3: abra la carpeta Resource Properties, seleccione las propiedades de recursos

llamadasConfidentiality y Department y, a continuación, en el panel de la derecha, haga clic
en Habilitar todo:
Una vez activadas, verifique que los iconos de las propiedades de
recursos Confidentiality yDepartment han cambiado:
Paso 4: edite la propiedad del recurso Department haciendo doble clic en ella. En la
secciónValores sugeridos, haga clic en el botón Agregar:
Paso 5: en la ventana Agregar un valor sugerido, escriba RRHH en el campo Valor y Nombre
para mostrar. A continuación, haga clic en Aceptar:
El valor RRHH debe aparecer, a continuación, en el filtro de búsqueda de valores sugeridos:
Paso 6: vuelva a cerrar la ventana de propiedad de recurso Department haciendo clic enAceptar.
4. Configurar la clasificación
Este taller tiene como objetivo activar y configurar la clasificación de los archivos y carpetas de la
carpeta compartida COMÚN en la que el departamento de Recursos Humanos almacena, en ocasiones,
archivos confidenciales sin darse cuenta. La implementación de la clasificación de datos debe permitir
identificar todos los archivos que contengan la cadena de caracteres "Recursos Humanos" para poder
clasificarlos como datos altamente confidenciales. La implementación del control de acceso dinámico
debe de esta forma permitir securizar los datos del departamento de RRHH.
Paso 1: abra una sesión de administrador en el servidor de archivos FILES-01. En la raíz de la

unidad E:\, dedicada a los datos, cree y comparta la carpeta COMÚN definiendo control total para
todos los usuarios en los permisos del recurso compartido:
A continuación, cree los siguientes archivos en la carpeta E:\COMÚN:
Privado1.txt: este archivo contiene el texto "Recursos Humanos".
Privado2.txt: este archivo contiene el texto "Recursos Humanos".
Público1.txt: este archivo contiene el texto "Accesible para todos".
Público2.txt: este archivo contiene el texto "Accesible para todos".
Paso 2: arranque el Administrador del servidor y a continuación, en el menú Herramientas,

haga clic en Administrador de recursos del servidor de archivos.
Paso 3: despliegue el árbol de la consola hasta el nodo Administración de clasificaciones -

Reglas de clasificación. En el menú Acciones del panel de la derecha haga clic en Crear regla de
clasificación.
Paso 4: en la pestaña General, escriba Recursos Humanos en el campo Nombre de la regla y, a

continuación, marque la opción Habilitada.
Paso 5: en la pestaña Ámbito, haga clic en Agregar para seleccionar la carpeta E:\COMÚN:
Paso 6: en la pestaña Clasificación, seleccione Clasificador de contenido en el menú
desplegable de la sección Método de clasificación. En la sección Propiedad, seleccione la
propiedad Confidentiality y seleccione el valor High. A continuación, haga clic en Configurar:
Paso 7: en la pestaña Parámetros, haga clic en la lista desplegable de Tipo de expresión para
seleccionar Cadena y, a continuación, en el campo Expresión, indique el valor Recursos
Humanos. A continuación, haga clic en Aceptar:
Paso 8: en la pestaña Tipo de evaluación marque la opción Volver a evaluar los valores de
propiedad existentes y, a continuación, marque la opción Sobrescribir el valor existente. Haga
clic en Aceptar para validar la regla de clasificación:
La regla de clasificación creada aparece, a continuación, en la consola.
Paso 9: seleccione la regla de clasificación previamente creada y, en el panel de la derecha, haga

clic en Ejecutar clasificación con todas las reglas ahora.
Paso 10: cuando aparezca la ventana Ejecutar clasificación, marque la opción Ejecutar
clasificación en segundo plano y haga clic en Aceptar.
Paso 11: edite las propiedades de cada uno de los archivos de la carpeta E:\COMÚN para
comprobar que la pestaña Clasificación contiene correctamente asignada la
propiedadConfidentiality con el valor High para los archivos Privado1.txt y Privado2.txt solamente.
Paso 12: edite las propiedades de la carpeta E:\RH_FILES. Vaya a la pestaña Clasificación,
seleccione la propiedad Department y, a continuación, asigne el valor RRHH. Haga clic
enAceptar:
5. Configurar una regla de acceso central

5. Configurar una regla de acceso central
Este taller tiene como objetivo crear una regla de acceso central. Esta regla define las condiciones de
acceso a la carpeta compartida dedicada al departamento de Recursos Humanos.

Paso 3: abra la carpeta Central Access Rules y, a continuación, en la sección Tareas del panel
derecho, haga clic en Nuevo y seleccione Regla de acceso central:
Paso 4: en la sección General, escriba Verificación de departamento en el campo Nombre. A

continuación, haga clic en el botón Editar de la sección Recursos de destino:
Paso 5: haga clic en Agregar una condición.
Paso 6: en la ventana Regla de acceso central, configure la condición para indicar que la regla
de acceso central se aplica a los usuarios pertenecientes al departamento de RRHH y, a
continuación, haga clic en Aceptar:
Paso 7: en la sección Permisos, haga clic en el botón Editar.
Paso 8: seleccione la cuenta de usuario Administrador y el grupo Todos y haga clic

en Eliminarpara que la regla no se aplique a los administradores del dominio INFONOVICE.priv ni
al conjunto de usuarios del dominio. Haga clic en Agregar.
Paso 9: en la ventana Entrada de permiso para Permisos, haga clic en Seleccionar una entidad
de seguridad y agregue el grupo Usuarios autentificados. Haga clic en Agregar una condición,
configúrela como se indica en la siguiente captura de pantalla y haga clic tres veces en Aceptar.
Paso 10: cree una nueva regla de acceso central llamada Acceso a los archivos de RRHH. En la
sección Recursos de destino, haga clic en Editar y agregue la condición siguiente:
Haga clic en Aceptar.
Paso 11: en la sección Permisos, haga clic en Editar, elimine la cuenta Administrador y el
grupoTodos.
Paso 12: a continuación, agregue el grupo Usuarios autentificados con las condiciones
siguientes:
Esta regla de acceso central, cuando se aplica a un recurso, especifica por sus características
que los miembros del grupo GG_RH_Direction pueden acceder al recurso especificado siempre
que se conecten desde un equipo perteneciente al grupo GG_RH_Computers (CLIENT1).
Paso 13: haga clic tres veces en Aceptar para validar y crear la regla de acceso central.
6. Crear una directiva de acceso central

Este taller tiene como objetivo crear una directiva de acceso central. Esta directiva debe estar
compuesta por la regla de acceso central previamente creada, publicada a través de las directivas de
grupo y aplicada a las carpetas que contienen los archivos de Recursos Humanos.

elAdministrador del servidor y a continuación, en el menú Herramientas, haga clic en Centro de
administración de Active Directory.
Paso 3: abra la carpeta Central Access Rules y a continuación, en la sección Tareas del panel
derecho, haga clic en Nuevo y seleccione Directiva de acceso central:
Paso 4: en la sección General, escriba Pertenencia al departamento de RRHH en el
campo Nombrey a continuación, en la sección Reglas de acceso central miembros, haga clic en
el botónAgregar:
Paso 5: en la ventana Agregar reglas de acceso central, seleccione la regla llamadaVerificación

de departamento para agregarla en esta directiva de acceso central. A continuación, haga clic
en Aceptar:
Paso 6: para crear la directiva de acceso central llamada Pertenencia al departamento de RRHH,
vuelva a hacer clic en Aceptar.
Paso 7: cree una nueva directiva de acceso central. En la sección General, escriba Archivos de
Recursos Humanos en el campo Nombre y, a continuación, en la sección Reglas de acceso
central miembros, haga clic en el botón Agregar:
Paso 8: en la ventana Agregar reglas de acceso central, seleccione la regla llamada Acceso a
archivos RRHH para agregarla en esta directiva de acceso central. A continuación, haga clic
enAceptar:
Paso 9: para crear la directiva de acceso central llamada Archivos de RRHH, vuelva a hacer clic
enAceptar.
Las dos directivas de acceso central creadas aparecen en la carpeta Central Access Policies:
7. Publicar una directiva de acceso
Este taller tiene como objetivo publicar una directiva de acceso central mediante las directivas de
grupo Active Directory.
Paso 1: inicie una sesión de administrador en el controlador de dominio DC-01. Abra

elAdministrador del servidor y, a continuación, en el menú Herramientas, haga clic
enAdministración de directivas de grupo.
Paso 2: despliegue el árbol de la consola hasta la UO INFONOVICE y cree una nueva directiva de
grupo llamada Control de acceso RRHH vinculada a la UO Equipos.
Paso 3: edite la directiva de grupo previamente creada. Despliegue el árbol de consola de la

manera siguiente: Configuración del equipo - Directivas - Configuración de Windows -
Configuración de seguridad - Sistema de archivos - Directiva de acceso central.
Paso 4: haga clic con el botón derecho en Directiva de acceso central y haga clic en Administrar
directivas de acceso central.
Paso 5: seleccione las dos directivas de acceso central (Pertenencia al departamento de

RRHHy Archivos de RRHH) y haga clic en el botón Agregar. Haga clic en Siguiente.
Paso 6: despliegue de nuevo el árbol de consola de la manera siguiente: Configuración del
equipo - Directivas - Plantillas administrativas - Sistema - Asistencia de acceso denegado.
Paso 7: edite el parámetro Personalizar mensaje para errores de acceso denegado. Marque la
opción Habilitada y, a continuación, escriba el siguiente mensaje de error que se mostrará
cuando se deniegue el acceso: "No dispone de permisos de acceso para los datos del departamento
de RRHH." A continuación, marque la opción Permitir que los usuarios soliciten asistencia y haga
clic en Aceptar para validar:
Paso 8: edite el parámetro Permitir la asistencia de acceso denegado en el cliente para todos
los tipos de archivos. Marque la opción Habilitada y haga clic en Aceptar.
Paso 9: cierre el Editor de gestión de directivas de grupo y la consola Administración de

directivas de grupo.
Paso 10: inicie una sesión en el servidor FILES-01 y ejecute el comando siguiente para refrescar
las directivas de grupo: gpupdate /force
Paso 11: edite las propiedades de la carpeta compartida E:\RH_FILES. En la pestaña Seguridad,
haga clic en Opciones avanzadas y, a continuación, en la pestaña Directiva central. Haga clic
enCambiar para seleccionar la directiva de acceso central Pertenencia al departamento de
RRHH y haga clic dos veces en Aceptar.
Paso 12: edite las propiedades de la carpeta E:\COMÚN. En la pestaña Seguridad, haga clic
enOpciones avanzadas y, a continuación, en la pestaña Directiva central. Haga clic
en Cambiarpara seleccionar la directiva de acceso central Archivos de RRHH y haga clic dos
veces enAceptar.
8. Comprobar el acceso a los recursos

Este taller tiene como objetivo validar la directiva de acceso a los recursos mediante la
implementación del control de acceso dinámico.
Paso 1: conéctese al equipo CLIENT2 e inicie una sesión de usuario como Juan DUPONT (nombre
de usuario: jdupont), perteneciente al departamento de RRHH.
Paso 2: navegue hasta la carpeta compartida \\FILES-01\COMÚN y verifique, a continuación, el

acceso a los archivos Público1.txt y Público.txt. El usuario debe poder acceder a ambos archivos.
Paso 3: verifique el acceso a los archivos Privado1.txt y Privado2.txt ubicados en la carpeta

compartida \\FILES-01\COMÚN. El usuario no debe poder acceder a ambos archivos.
Paso 4: una vez denegado el acceso al recurso, haga clic en Solicitar asistencia. En el campo
dedicado a la explicación, indique que el usuario JDUPONT pertenece al departamento de RRHH y,
a continuación, haga clic en Enviar mensaje:
A lo largo de este capítulo, hemos visto todos los aspectos relativos al control de acceso dinámico de
Microsoft Windows Server 2012 R2, que podemos resumir de la manera siguiente:
El control de acceso dinámico permite securizar el acceso a los datos.
El control de acceso dinámico es adicional a los permisos NTFS.
La implementación requiere la creación de una directiva de acceso central que contenga las
reglas de acceso central.
La clasificación de los archivos permite aplicar propiedades predefinidas a los recursos.

preguntas.
1. Preguntas
1 ¿Qué es una notificación?
2 ¿Qué es una propiedad de recurso?
3 ¿Qué herramienta permite resolver un problema de acceso a un recurso?
2. Resultados
punto.
3. Respuestas
1 ¿Qué es una notificación?
Una notificación permite definir el conjunto de los atributos de objeto de tipo Usuario o Equipo, que
servirán para verificar las condiciones de acceso de una regla de directiva de acceso.
2 ¿Qué es una propiedad de recurso?
Una propiedad de recurso permite añadir información adicional a un recurso para controlar el acceso
dinámico y gestionar el control de acceso. Una propiedad de recurso puede contener diferentes
tipos de valor con algunas selecciones múltiples.
3 ¿Qué herramienta permite resolver un problema de acceso a un recurso?
Los permisos efectivos permiten verificar previamente los permisos de un usuario o de un grupo
en función de sus parámetros de pertenencia a un grupo, las notificaciones aplicadas o el puesto de
trabajo desde el que se debe acceder al recurso.
Conocimiento básico del directorio Active Directory.
Conocimiento básico de la noción de dominio Active Directory.
2. Objetivos
Conocer los componentes de una infraestructura Active Directory.
Saber desplegar una infraestructura Active Directory.
Saber administrar una infraestructura Active Directory compleja.
Saber configurar las relaciones de confianza entre dominios.

Presentación del despliegue distribuido AD DS
Como hemos podido ver en el capítulo Los servicios de dominio Active Directory, una infraestructura
Active Directory está compuesta por diferentes elementos que tienen cada uno un rol específico
dentro de un dominio o de un bosque. Recordemos que el uso de Active Directory dentro de una
empresa es una excelente solución de gestión de identidades y accesos. Todos los objetos se
registran en una partición de datos del directorio para poderse replicar en el conjunto de
controladores del dominio de la infraestructura Active Directory. Esta misma infraestructura está
organizada mediante el uso de dominios y bosques. La gestión de un dominio o de un bosque
presenta límites administrativos o técnicos para los administradores. Este capítulo presenta todas las
facetas del despliegue de una infraestructura Active Directory compleja.
1. Administración de bosques Active Directory

Un bosque es una agrupación de varios dominios Active Directory y posee un único esquema. El
primer dominio instalado en un bosque se llama dominio raíz del bosque. Varios arboles de dominio
cuyo espacio de nombres no es continuo representan un bosque.
a. Gestión administrativa
El conjunto de miembros del grupo de seguridad predefinido llamado Administradores de

empresasposeen control total sobre el conjunto del bosque Active Directory. Ninguna cuenta de
usuario situada fuera del bosque tiene permisos administrativos sobre el conjunto del bosque.
b. Particiones
Partición del esquema: una única partición del esquema se replica en todos los
controladores de dominio del bosque.
Partición de configuración: la partición de configuración contiene toda la información de los

dominios Active Directory (planificación de replicación, topología del bosque, información de
los controladores de dominio, sitios y subredes). Esta partición contiene a su vez los
elementos modificados por las aplicaciones que se integran en Active Directory para su
correcto funcionamiento, tales como las autorizaciones DHCP, la configuración del control de
acceso dinámico o la integración de componentes como un servidor de correo electrónico
Exchange o SCCM (System Center Configuration Manager). Esta partición se replica en el
conjunto de los controladores de dominio del bosque.
Partición DNS integrada en el bosque: cuando una infraestructura alberga zonas DNS
integradas en Active Directory, la partición ForestDnsZones permite replicar la zona
integrada en AD DS en el conjunto de los controladores de dominio del bosque.
2. Administración de dominios Active Directory

Un dominio es una entidad administrativa de Active Directory dentro de la que se comparten ciertas
funcionalidades y características. Esta entidad de seguridad alberga usuarios y equipos y
representa un perímetro en el que las directivas (GPO) se encuentran definidas.
a. Gestión administrativa
El conjunto de los miembros del grupo de seguridad predefinido llamado Admins. del
dominioposeen control total en el dominio. Los miembros de este grupo no tienen privilegios
administrativos en los demás dominios del bosque o en otros bosques.
b. Particiones
Partición del dominio: todos los objetos de un dominio se almacenan en la partición del
dominio en cada controlador de dominio. Los datos no se replican a otros controladores de
dominio pertenecientes a otros bosques. Mediante los objetos de dominio, es posible
vincular las directivas de grupo a un dominio, una UO o un sitio. No existe herencia de
directivas de grupo de un dominio a otro. Cada dominio posee pues sus propias directivas
de grupo.
Partición DNS integrada en el bosque: cuando una infraestructura alberga zonas DNS
integradas en Active Directory, la partición DomainDnsZones permite replicar la zona
integrada en AD DS en el conjunto de los controladores de dominio del bosque.
3. Despliegue distribuido AD DS
La mayoría de las instalaciones pueden operar con el uso de un único servicio de dominio de Active
Directory. Agregar varios dominios a un bosque complica la implementación y la administración de la
infraestructura Active Directory. En varias estructuras, la implementación de una arquitectura
compleja puede resultar beneficioso y aportar gran cantidad de funcionalidad o seguridad. Antes de
desplegar una infraestructura compleja de dominios AD DS conviene saber y conocer las distintas
topologías así como el impacto de las diferentes configuraciones dentro del bosque.
a. Dominios o bosques múltiples
¿Por qué utilizar bosques o dominios múltiples en una infraestructura AD DS cuando un solo
bosque y un solo dominio son suficientes en la mayoría de casos?
La implementación de bosques AD DS múltiples puede ser beneficioso en los casos siguientes:
Ciertas aplicaciones necesitan la modificación del esquema de Active Directory para

funcionar. Al ser única la partición del esquema dentro del bosque, ésta se replica a través
de los controladores de dominio del bosque. Las modificaciones del esquema pueden ser
más o menos importantes, por lo que puede resultar útil crear un nuevo bosque con objeto
de albergar los recursos que empleen un esquema concreto. Esto evita conflictos
potenciales que pueden entrañar una modificación del esquema del bosque que albergue
las cuentas de los usuarios.
Al comprar una empresa, puede resultar útil integrar el parque informático recién adquirido
como un nuevo bosque a la infraestructura Active Directory existente. Esto permite evaluar
mejor el perímetro de cara a preparar una fusión de Active Directory.
La implementación de bosques Active Directory múltiples en una infraestructura informática

puede ser beneficioso para poder aislar diferentes autoridades administrativas y, de este
modo, incrementar la seguridad del proceso de gestión de identidades y de acceso. Esta
topología se utiliza con frecuencia en los grupos donde la seguridad es un aspecto esencial.
Ciertas infraestructuras poseen servidores de aplicaciones en DMZ (zonas desmilitarizadas)

accesibles desde el exterior como, por ejemplo, servidores web IIS, Extranets, interfaces
web Citrix u otros servidores de aplicación. Si uno de los componentes necesita una
autenticación de dominio, es posible crear un bosque suplementario en la DMZ dedicado a la
autenticación de los usuarios.
La implementación de dominios AD DS múltiples puede ser beneficioso en los casos siguientes:
Facilitar la replicación Active Directory cuando una empresa posee sitios remotos
interconectados a la sede central mediante una conexión lenta. Agregar un dominio
suplementario para cada uno de los sitios remotos permite mejorar los procesos de
autenticación de los usuarios que se conectarán de manera local en el dominio vinculado a
su sitio. De esta forma, solo las replicaciones AD entre los dominios padres e hijos tendrán
lugar a través del vínculo WAN.
El empleo de espacios de nombres dedicados a cada entidad de una empresa puede

justificar el uso de varios dominios Active Directory distintos. Por ejemplo, la empresa
INFONOVICE que utiliza el nombre de dominio INFONOVICE.priv puede, a su vez, crear un
dominio llamado OXYLIVE.local para una de sus filiales con el objetivo de distinguir
claramente las dos diferentes entidades jurídicas. Igual para la gestión de subdominios
Active Directory. Por ejemplo, la empresa INFONOVICE puede a su vez tener que recurrir al
uso de subdominios para distinguir las unidades geográficas de la empresa que poseen
cada una su propia gestión informática.
Por ejemplo: EUROPA.INFONOVICE.PRIV, AFRICA.INFONOVICE.PRIV, ASIA.INFONOVICE.PRIV,
AMERICA.INFONOVICE.PRIV.
El uso de un dominio específico para recursos tales como servidores de aplicación o

aplicaciones completamente integradas en Active Directory. Esto permite implementar un
dominio que contenga las cuentas de usuario y un dominio que contenga los recursos y
cuentas de servicio. Mediante este tipo de implementación, las operaciones de
administración en el dominio de aplicaciones pueden tener lugar sin impactar en las cuentas
de usuario.
b. Actualización a Windows Server 2012 R2
No se recomienda actualizar un controlador de dominio a Windows Server 2012 R2. Para respetar
las buenas prácticas, la operación consiste en integrar los nuevos controladores de dominio con el
sistema operativo Windows Server 2012 R2 en la infraestructura existente. Una vez que los
controladores de dominio estén operativos, podemos eliminar los servidores con sistemas
operativos obsoletos sin problema alguno (con la condición de transferir previamente los roles
FSMO a los controladores de dominio que ejecuten Windows Server 2012 R2). Si ningún
controlador de dominio de la infraestructura Active Directory ejecuta el sistema operativo Windows
Server 2012 R2, habrá que actualizar el esquema del bosque antes de promover el controlador de
dominio. La herramienta adprep.exe (disponible en el DVD de instalación de Windows Server 2012
R2 en la carpeta \Support\adprep) permite actualizar el esquema de Active Directory manualmente.
Antes de implementar los controladores de dominio Windows Server 2012 R2 en un entorno
existente, hay que verificar que el nivel funcional del dominio sea al menos Windows Server 2008
porque los niveles funcionales anteriores no están soportados.
Requisitos previos para una actualización a Windows Server 2012 R2
Antes de realizar una actualización de los controladores de dominio conviene verificar los
siguientes elementos:
Disponer de permisos de administración en el dominio a actualizar y disponer de una cuenta

de usuario miembro del grupo Administradores de esquema o Administradores de
empresas.
Verificar que el esquema del directorio Active Directory no ha sufrido muchas modificaciones
manuales diferentes de las aportadas por los productos Microsoft para evitar problemas con
identificadores de objeto (Object ID) cuando extendamos el esquema con la herramienta
Adprep.exe. Si éste fuera el caso, habrá que probar la extensión del esquema previamente
en un entorno de pruebas para validar el procedimiento.
Verificar que el nivel funcional del dominio sea al menos Windows Server 2008.
Verificar que las herramientas de su parque informático que empleen agentes en el

conjunto de sus servidores y controladores de dominio sean compatibles con Windows
Server 2012 R2. Habrá que verificar previamente el conjunto de matrices de compatibilidad
de software de sus herramientas de supervisión, inventario, antivirus, copia de seguridad,
etc.
Contar con servidores miembro del dominio corriendo bajo el sistema operativo Windows
Server 2012 R2.
Contar con el DVD-ROM de instalación de Windows Server 2012 R2.
Una vez verificados los requisitos previos, es importante realizar una prueba en un entorno de
verificación. Si el entorno de la maqueta no se corresponde completamente a la realidad de su
parque informático, no podrá jamas validar el buen funcionamiento de la extensión del esquema
del directorio Active Directory, y no estará libre de posibles problemas.
Proceso de actualización a Windows Server 2012 R2
Verifique los requisitos previos mencionados previamente.
Instale los servidores miembro bajo Windows Server 2012 R2.
Identifique los servidores que alberguen los roles FSMO empleando el comando: netdom
query fsmo
Utilice el DVD-ROM de instalación para efectuar la extensión del esquema de Active Directory
empleando los comandos siguientes en este orden:
adprep /forestprep (debe ejecutarse en el servidor que albergue el rol FSMO

controlador del esquema)
adprep /domainprep (debe ejecutarse en el servidor que albergue el rol FSMO

maestro de infraestructura)
adprep /gpprep (debe ejecutarse en el servidor que albergue el rol FSMO maestro
de infraestructura)
adprep /rodcprep (si fuera necesario instalar controladores de dominio de solo

lectura RODC)
Promueva los servidores miembro bajo Windows Server 2012 R2 a controladores de dominio.
Transfiera los roles FSMO a los controladores de dominio Windows Server 2012 R2.
Cuando se hayan completado todas las acciones, los controladores de dominio con sistemas
operativos anteriores a Windows Server 2012 R2 pueden ser degradados.
Una vez que el conjunto de los controladores de dominio ejecuten el sistema operativo Windows
Server 2012 R2, podrá aumentar el nivel funcional del dominio a Windows Server 2012 R2.
c. Migración a Windows Server 2012 R2
La migración Active Directory consiste en desplazar los objetos de un dominio A (dominio fuente) a
un dominio B (dominio de destino). Los objetos migrados corresponden a las cuentas de equipo,
cuentas de usuario, cuentas de servicio o los grupos de seguridad. La necesidad de migrar los
datos puede intervenir en diferentes situaciones tales como una reestructuración de la
infraestructura Active Directory existente (consolidación) o la compra de una nueva empresa
(fusión).
Para facilitar la migración de los recursos de un dominio a otro, Microsoft pone a disposición de los
administradores una herramienta gratuita llamada ADMT (Active Directory Migration Tool). Esta
herramienta garantiza la migración de los recursos entre los dominios Active Directory del mismo
bosque (migración intra-bosque) o bosques independientes (migración inter-bosque). Es posible
utilizar ADMT empleando una interfaz gráfica o por línea de comandos, lo que permite automatizar
las tareas de migración.
Requisitos previos de una migración ADMT
Antes de realizar una migración empleando la herramienta ADMT es importante respetar los
siguientes requisitos previos:
Tener permisos de administración en los dominios fuente y de destino.
Configurar los servidores DNS para que los dominios fuente y de destino puedan resolver
los nombres de dominio asociados (posibilidad de crear reenviadores condicionales en los
servidores DNS).
Configurar las relaciones de confianza bidireccional entre los dominios fuente y de destino.
Descargar e instalar la versión de la herramienta ADMT adecuada con los sistemas

operativos soportados. Prever la instalación de la herramienta de migración en el dominio
de destino.
Activar la migración de contraseñas.
Realizar una copia de seguridad de los servidores y verificar el buen funcionamiento de la

restauración.
Preparar un entorno de maqueta para realizar las pruebas de migración y de esta forma
validar los procedimientos de migración y vuelta atrás.
Configurar los Firewall de los dominios fuente y de destino para autorizar la compartición de
archivos e impresoras en la red.
Preparar el árbol del dominio destino para conocer previamente en qué UO se almacenarán
los objetos del dominio fuente.
Preparar una planificación de migración.
Configurar los dominios fuente y de destino para activar el soporte del atributo SID-History
de los objetos migrados. Este atributo permite a los usuarios migrados conservar sus
accesos a recursos del dominio fuente. Una vez migrados al dominio de destino, los objetos
obtendrán un nuevo SID que no podrá ser gestionado en el dominio fuente.
Una vez cumplidos estos requisitos previos es importante migrar los recursos por lotes, con el fin
de reducir el impacto ocasionado por un posible error. Los grupos de seguridad globales deben ser
migrados antes que las cuentas de usuario y demás recursos (servidores o cuentas de equipo).
Proceso de migración ADMT
Verifique los requisitos previos ADMT y configure los permisos de administración en los dos
dominios.
Instale ADMT en el dominio de destino.
Cree las relaciones de confianza bidireccional entre los dominios fuente y de destino.
Active el soporte del SID-History en el dominio de destino.
Migre los grupos globales.
Migre las cuentas de usuario.
Migre los servidores y equipos de trabajo.
Migre los grupos de dominio local.
Migre los controladores de dominio.
Una vez migrados todos los recursos, es posible degradar los controladores de dominio del
dominio fuente.
d. Relaciones de confianza
Las relaciones de confianza de Active Directory permiten autorizar a los usuarios de otro dominio o
bosque para acceder a los recursos internos de la empresa. Por defecto, durante la creación de un
subdominio o de dominios pertenecientes a un mismo bosque, se crean automáticamente
relaciones de confianza transitivas para autorizar a los usuarios a autenticarse en los dominios del
mismo bosque. Cuando un administrador desea conceder un acceso a los recursos del dominio
para los usuarios de otro bosque, se debe crear manualmente una relación de confianza no
transitiva. Para limitar el tráfico y las peticiones entre dominios de un mismo bosque, se pueden
crear manualmente relaciones de confianza directa llamadas abreviadas para conceder el acceso a
los recursos. Al agregar un nuevo árbol de dominio al bosque se crea automáticamente una
relación de confianza transitiva.
Antes de crear relaciones de confianza, conviene saber que existen diferentes tipos de relaciones
de confianza con distintos tipos de transitividad y distintas direcciones que indican el sentido de la
confianza.
El tipo de confianza
El tipo de confianza permite definir la relación de aprobación que puede existir entre dos bosques.
Existen dos tipos de confianzas:
Confianza externa: este tipo de confianza no es transitiva, lo que significa que los usuarios
del dominio raíz de cada bosque no pueden acceder a los recursos del dominio raíz del otro
bosque. Al no ser transitiva la relación de confianza, los dominios secundarios del bosque
no pueden aprobar a los dominios de un bosque externo.
Confianza de bosques: este tipo de confianza es transitiva, lo que significa que los usuarios
del dominio raíz de cada bosque pueden acceder a los recursos del dominio raíz del otro
bosque:
Confianza Principales/Secundarios: este tipo de confianza creada automáticamente es

transitiva. Esto quiere decir que los usuarios del dominio secundario pueden acceder a los
recursos del dominio primario y viceversa:
La dirección de la confianza
La dirección de la confianza indica el sentido en el que deben aprobarse los dominios
correspondientes (bidireccional o unidireccional). Para autorizar a los usuarios de un dominio a
acceder a los recursos de otro dominio, siempre hay que pensar que la relación de confianza se
realiza en el sentido del dominio de los recursos hacia el dominio de las cuentas de usuario. El
sentido de la relación de confianza es pues muy importante.
En los siguientes esquemas, la flecha negra indica el sentido de la confianza y las demás flechas
indican el sentido de acceso a los recursos por los usuarios.
Existen tres tipos de confianzas:
Bidireccional: los usuarios de cada dominio pueden acceder respectivamente a los recursos
del otro dominio.
Unidireccional de entrada: los usuarios del dominio A pueden acceder a los recursos del
dominio B.
Unidireccional de salida: los usuarios del dominio B pueden acceder a los recursos del
dominio A.
Por defecto, al crear una relación de confianza entre un dominio y un bosque externo, el filtrado de
los SID de seguridad se activa para evitar cualquier suplantación de identidad. Todo objeto de
grupo (con la excepción de los grupos de difusión), equipo o usuario de Active Directory posee un
atributo SID. Durante una migración de recursos de un dominio a otro, las cuentas migradas
conservan sus atributos de seguridad SID correspondientes al dominio de origen. El SID del
dominio origen se convierte automáticamente en el atributo SID-History para adquirir un nuevo SID
correspondiente al dominio de destino. Si el filtrado de los SID está activado en el dominio de
destino, no se conservará el atributo SID-History porque las referencias del atributo no
corresponderán al dominio Active Directory. Para que los usuarios migrados puedan continuar
utilizando los recursos del dominio de origen hay que desactivar el filtrado de los SID.
Preste atención, si un administrador crea una relación de confianza entre dos bosques con el
objetivo de implementar una autenticación con Kerberos, la sincronización temporal de los
dominios correspondientes no puede superar un desfase de 5 minutos.
e. Enrutamiento de sufijo de nombre
El enrutamiento de sufijo de nombre permite agregar los nombres de sufijo (también llamados
sufijos UPN: User Principal Name) como complemento a las cuentas de usuario. De esta forma, el
administrador puede definir en las propiedades de una cuenta de usuario el nombre del sufijo a
emplear para verificar un inicio de sesión en el dominio. Este nombre de sufijo puede ser diferente
de su nombre de dominio. Al igual que una dirección de correo electrónico, un sufijo de nombre se
puede escribir de la siguiente manera: login@<Nombre del dominio>.
Por defecto, cuando editamos las propiedades de una cuenta de usuario, solo el sufijo de nombre
correspondiente al nombre de dominio aparece en la lista desplegable:
Mediante el sufijo de nombre, un usuario puede iniciar sesión en el dominio indicando su login de
conexión seguido del nombre de sufijo autorizado para su cuenta.
Ejemplo de nombre de inicio de sesión: joliv ares@infonov ice.priv
Para agregar sufijos de nombre adicionales, basta con realizar las siguientes etapas:
Abra la consola Dominios y confianzas de Active Directory.
Haga clic con el botón derecho en Dominios y confianzas de active Directory (en la raíz de
consola) y haga clic en Propiedades.
En la ventana Propiedades: Dominios y confianzas de Active Directory, escriba ediciones-

eni.es en el campo Sufijos UPN alternativos: y haga clic en Agregar. A continuación, haga clic
en Siguiente:
Abra la consola Usuarios y equipos de Active Directory.
Edite las propiedades de una cuenta de usuario existente.
En la pestaña Cuenta, es posible en adelante seleccionar el sufijo UPN previamente creado:
El enrutamiento de nombres de sufijo permite a los usuarios migrados durante la fusión de

dos empresas continuar autenticándose en el dominio de destino con su sufijo UPN original
correspondiente al nombre de dominio de origen.
Trabajos prácticos
La empresa INFONOVICE desea crear un subdominio Active Directory que agrupará el conjunto de
filiales ubicadas en los Estados Unidos. Para ello, solicita sus servicios para instalar un nuevo dominio
llamado usa.infonovice.priv en el servidor DC-03 que es miembro del dominio infonovice.priv.
La empresa OXYLIVE ha sido recientemente adquirida por la empresa INFONOVICE. En el marco de

una consolidación de las infraestructuras Active Directory de los dos dominios, la empresa
INFONOVICE solicita sus servicios para implementar una relación de confianza externa entre ambos
dominios en previsión de una futura migración de recursos.
Para realizar los siguientes trabajos prácticos deberá implementar las siguientes máquinas virtuales
DC-03: controlador de dominio usa.infonovice.priv, servidor DNS
OXYDC-01: controlador de dominio oxylive.local, servidor DNS
La contraseña de la cuenta de administrador de cada dominio debe modificarse para utilizar la

siguiente contraseña: P@ssw0rd
1. Añadir un dominio al bosque

Este taller tiene como objetivo crear un nuevo dominio usa.infonovice.priv en el bosque Active
Directory existente cuyo dominio raíz es infonovice.priv.
Paso 1: inicie una sesión en el servidor DC-03 que es miembro del dominio infonovice.priv y a
continuación, en el Administrador del servidor, haga clic en Agregar roles y características.
Paso 2: en la ventana Antes de comenzar, haga clic en Siguiente.
Paso 3: en la ventana Seleccionar tipo de instalación, haga clic en Siguiente.
Paso 4: en la ventana Seleccionar servidor de destino, haga clic en Siguiente.
Paso 5: en los roles de servidor, marque la opción correspondiente al rol Servicios de dominio
de Active Directory, a continuación haga clic en Agregar características de la ventana
emergente que aparece, y haga clic en Siguiente:
Paso 6: en la ventana Seleccionar características, haga clic en Siguiente.
Paso 7: en la ventana Servicios de dominio de Active Directory, haga clic en Siguiente.
Paso 8: en la ventana Confirmar selecciones de instalación, haga clic en Instalar.
Paso 9: en la ventana Progreso de la instalación, haga clic en Cerrar.
Paso 10: haga clic en el signo de exclamación del panel triangular amarillo y, a continuación,
haga clic en Promover este servidor a controlador de dominio:
Paso 11: en la ventana Configuración de implementación, seleccione Agregar un nuevo

dominio a un bosque existente y escriba a continuación usa en la sección Nuevo nombre de
dominio. A continuación, haga clic en el botón Cambiar:
Paso 12: en la ventana emergente de seguridad de Windows, introduzca la información de
autenticación de la cuenta Administrador del dominio INFONOVICE.priv y haga clic en Aceptar:
Paso 13: haga clic en Siguiente.
Paso 14: en la ventana Opciones del controlador de dominio, deje las opciones por defecto y, a
continuación, escriba la contraseña DSRM (P@ssw0rd) y haga clic en Siguiente:
Paso 15: en la ventana Opciones de DNS, verifique que la información de identificación indicada
para la creación de una delegación se corresponde a la cuenta Administrador del dominio
INFONOVICE y haga clic en Siguiente:
Paso 16: en la ventana Opciones adicionales, verifique que el nombre NETBIOS que aparece se
corresponde con el dominio USA y haga clic en Siguiente.
Paso 17: en la ventana Rutas de acceso, deje las opciones por defecto y haga clic
en Siguiente(en entornos de PRODUCCIÓN, es recomendable especificar una partición dedicada
para cada ubicación de los elementos de la base de datos AD DS, archivos de registro y directorio
SYSVOL).
Paso 18: en la ventana Revisar opciones, haga clic en Siguiente.
Paso 19: en la ventana Comprobación de requisitos previos, haga clic en Instalar (en este
punto, verifique que no aparece ningún error en el resumen).
Paso 20: tras el reinicio, podemos constatar que el servidor DC-03 se ha promovido
correctamente controlador de dominio en el subdominio usa.infonovice.priv.
Cuando un administrador agrega un nuevo dominio a un bosque ya existente o un subdominio, el

proceso de adición del nuevo dominio crea al mismo tiempo las relaciones de confianza transitivas
adecuadas. Podemos visualizar las relaciones de confianza creadas en la consola Dominios
yconfianzas de Active Directory, disponible en las herramientas administrativas del sistema
operativo:
2. Configurar una confianza AD DS

Este taller tiene como objetivo crear una relación de confianza externa bidireccional entre el dominio
infonovice.priv y el dominio oxylive.local.
Paso 1: en el servidor DC-01, arranque el Administrador del servidor, haga clic

enHerramientas en la barra de menú y, a continuación, haga clic en la herramienta de
administración Dominios y confianzas de Active Directory.
Paso 2: despliegue el árbol de la consola Dominios y confianzas de Active Directory, haga clic
con el botón derecho en el dominio infonovice.priv y, a continuación, haga clic en Propiedades.
Paso 3: en la ventana Propiedades de: infonovice.priv, haga clic en la pestaña Confianzas y, a

continuación, en Nueva confianza.
Paso 4: en la ventana Asistente para nueva confianza, haga clic en Siguiente.
Paso 5: en la ventana Nombre de confianza escriba oxylive.local (que corresponde al nombre del
dominio al que queremos dar confianza) en el campo Nombre. A continuación, haga clic
enSiguiente:
Paso 6: en la ventana Tipo de confianza, marque la opción Confianza externa y, a continuación,

Paso 7: en la ventana Dirección de confianza, marque la opción Bidireccional y haga clic

enSiguiente:
Paso 8: en la ventana Partes de la relación de confianza, marque la opción Ambos, este
dominio y el dominio especificado y, a continuación, haga clic en Siguiente:
Paso 9: en la ventana Nombre de usuario y contraseña, escriba OXYLIVE\administrador en el

campo Usuario y P@ssw0rd en el campo Contraseña, a continuación haga clic en Siguiente:
Paso 10: en la ventana Nivel de autenticación de confianza de salida - Dominio local, marque
la opción Autenticación en todo el dominio y, a continuación, haga clic en Siguiente.
Paso 11: en la ventana Nivel de autenticación de confianza de salida - Dominio especificado,

marque la opción Autenticación en todo el dominio y, a continuación, haga clic en Siguiente.
Paso 12: en la ventana Se ha completado la selección de confianzas, haga clic dos veces
enSiguiente.
Paso 13: en la ventana Confirmar confianza saliente, marque la opción Sí y, a continuación,

haga clic en Siguiente.
Paso 14: en la ventana Confirmar confianza entrante, marque la opción Sí y, a continuación,

Paso 15: en la ventana Finalización del Asistente para nueva confianza, haga clic
en Finalizary, a continuación, haga clic en Aceptar para cerrar la ventana emergente de
información sobre la activación del filtrado de identificador de seguridad (SID).
Paso 16: podemos en adelante constatar, en la pestaña Confianzas de las propiedades del
dominio infonovice.priv, que la relación de confianza externa con el dominio oxylive.local se ha
creado correctamente. La relación de confianza no es transitiva porque se trata de un tipo de
aprobación de bosque externo:
A lo largo de este capítulo, hemos visto todos los aspectos relativos a la implantación distribuida de
Active Directory en Microsoft Windows Server 2012 R2. Podríamos resumirlo de la manera siguiente:
Una infraestructura Active Directory se encuentra organizada jerárquicamente con una gestión
administrativa que incluye bosques y dominios.
El primer dominio instalado en la infraestructura Active Directory se convierte en el dominio raíz

del bosque.
La migración de una infraestructura obsoleta a Windows Server 2012 R2 requiere la

actualización del esquema de Active Directory.
Las relaciones de confianza permiten autorizar a los usuarios externos para acceder a los
recursos internos del dominio.
El enrutamiento de sufijos de nombres permite personalizar el nombre del dominio asociado al

sufijo UPN de una cuenta de usuario.
preguntas.
1. Preguntas
1 ¿Cuál es el nombre del grupo de usuarios que poseen permisos de administración con control
total sobre todos los objetos del bosque?
2 ¿Qué particiones del directorio son únicas dentro del bosque?
3 ¿Qué operación debe realizar un administrador antes de introducir el primer controlador de

dominio bajo el sistema operativo Windows Server 2012 R2 en una infraestructura existente?
4 ¿Qué herramienta permite migrar los objetos de Active Directory y los recursos de un dominio
a otro?
5 ¿Qué es el historial de SID (SID-History)?
6 ¿Qué consola de administración permite personalizar los sufijos UPN de los usuarios del
dominio?
7 ¿Para qué sirve una relación de confianza?
2. Resultados
punto.
3. Respuestas
1 ¿Cuál es el nombre del grupo de usuarios que poseen permisos de administración con control
total sobre todos los objetos del bosque?
El grupo integrado Administradores de empresas posee control total sobre el conjunto del bosque.
2 ¿Qué particiones del directorio son únicas dentro del bosque?
La partición de Configuración y la partición de esquema son únicas dentro del bosque.
3 ¿Qué operación debe realizar un administrador antes de introducir el primer controlador de

dominio bajo el sistema operativo Windows Server 2012 R2 en una infraestructura existente?
Cuando una infraestructura Active Directory no cuenta con ningún controlador de dominio que
emplee el sistema operativo Windows Server 2012 R2, es imperativo actualizar el esquema antes
de integrar el primer controlador de dominio bajo Windows Server 2012 R2. El administrador utiliza
entonces la herramienta ADPREP.exe, disponible en la carpeta \Support\adprep del DVD de
instalación.
4 ¿Qué herramienta permite migrar los objetos de Active Directory y los recursos de un dominio
a otro?
La herramienta de migración ADMT (Active Directory Migration Tools) permite migrar los recursos
de un dominio fuente a un dominio de destino. Esta herramienta está disponible de forma gratuita
en el sitio de Microsoft.
5 ¿Qué es el historial de SID (SID-History)?
El historial de SID (SID-History) es un atributo asociado a una cuenta de usuario. Cuando se migra
una cuenta de usuario de un dominio a otro, este último conserva el atributo SID de su cuenta
inicial en el atributo SID-History de su nueva cuenta de usuario en el nuevo dominio. Esta acción
tiene como objeto conservar los permisos de acceso a los recursos del dominio original que no han
sido todavía migrados.
6 ¿Qué consola de administración permite personalizar los sufijos UPN de los usuarios del
dominio?
La consola Dom inios y confianzas de Activ e Directory permite personalizar los sufijos UPN
disponibles para el conjunto de los usuarios del dominio. Basta con editar las propiedades del nodo
raíz de la consola para agregar los sufijos UPN.
7 ¿Para qué sirve una relación de confianza?
Una relación de confianza consiste en autorizar a los usuarios de un dominio para acceder a los
recursos de otro dominio.
Conocer los servicios de dominio Active Directory.
Conocer los principios de resolución DNS.
2. Objetivos
Comprender los sitios Active Directory.
Comprender la autenticación de los usuarios en el dominio.
Comprender la búsqueda de servicios en la red.
Saber configurar un controlador de dominio como catálogo global.
Saber crear sitios y subredes Active Directory.

Presentación de los sitios Active Directory
Los sitios Active Directory son objetos del directorio que se encuentran en la partición de
configuración: CN=Sites,CN=Configuration,DC=<Dominio raíz del bosque>.
1. Objetivo de los sitios

Un sitio tiene como objetivo gestionar el tráfico de replicación entre sitios y facilitar la ubicación de
los servicios. La necesidad de crear sitios se hace evidente cuando es imperativo identificar y
separar una red fuertemente conectada como, por ejemplo, una sede central de un anexo de la
empresa que se encuentra en una red remota con una conexión lenta.
Una red fuertemente conectada representa un sitio de Active Directory donde las
replicaciones de los cambios aportados a Active Directory son instantáneas.
Una red menos fuertemente conectada estaría representada por conexiones lentas, menos
fiables o costosas. No es indispensable replicar los cambios inmediatamente en este tipo de
red, para optimizar el rendimiento, reducir los costes o ahorrar ancho de banda. Sería posible
realizar por la noche la replicación de las particiones del directorio entre dos sitios para no
interferir con el tráfico de los usuarios y penalizar la calidad de servicio en entornos con
anchos de banda reducidos. Hablamos de una conexión lenta cuando su ancho de banda es
inferior a los 512 Kbps. Es pues recomendable crear un sitio para delimitar esta parte de la
red. De esta forma, un usuario conectado a un sitio donde la conexión con la sede central sea
lenta se verá obligado a conectarse a un controlador de dominio de su sitio.
a. Administración de los sitios
La gestión de los sitios se realiza a través de la herramienta de administración Sitios y servicios

de Active Directory, disponible en la siguiente
ubicación:%SYSTEMROOT%\System32\dssite.msc o mediante las herramientas administrativas
de Windows Server:
La consola de administración Sitios y servicios de Active Directory es un complemento

disponible, también, mediante una consola MMC.
Esta consola de administración permite gestionar los siguientes elementos:
Las subredes (Subnets)
Los protocolos de transporte (IP o SMTP)
Los sitios
Las topologías de replicación
La programación de replicación
Los vínculos entre sitios
Los servidores de catálogo global
b. Ubicación de los servicios
La ubicación de los servicios permite a los clientes de un sitio localizar el controlador de dominio
más cercano a su ubicación geográfica, o un servicio de red próximo a su sitio, con el objetivo de
utilizar los recursos de su sitio en lugar de solicitar recursos de un sitio remoto.
Los sitios de Active Directory ayudan a localizar los servicios, incluyendo aquellos proporcionados
por los controladores de dominio. Durante el inicio de sesión, los clientes de Windows se redirigen,
automáticamente, a un controlador de dominio de su sitio. Si no se encuentra disponible ningún
controlador de dominio en el sitio, se les redirige hacia el controlador de dominio de otro sitio que
será capaz de identificarles.
Para que un usuario identifique los recursos disponibles en su sitio, el equipo cliente efectúa una
petición DNS para consultar el conjunto de registros de tipo SRV. Un registro SRV permite indicar
qué servidor ofrece un servicio en la red:
Ejemplos de servicios disponibles en los registros SRV de un servidor DNS:
Servidor Kerberos: para la autenticación de los usuarios en el dominio.
Servidor LDAP: para el directorio Active Directory.
Cada servidor que se une a un dominio anuncia los servicios creando registros DNS
llamadosUbicación de servicio o registro SRV.
Mediante los sitios, los usuarios contactan con los servidores del sitio que disponen del servicio
adecuado.
2. Los sitios
Durante la creación del primer dominio de un bosque, los servicios de dominio Active Directory crean
automáticamente un sitio por defecto llamado Default-First-Site-Name (es recomendable renombrar
el sitio por defecto para darle un nombre más representativo).
También es recomendable crear un sitio para una parte de la red que albergue al menos un
controlador de dominio o un servicio de recursos DFS replicado.
Para definir un sitio, hay que crear un objeto de clase Site. Este objeto es un contenedor que
permite gestionar la replicación entre controladores de dominio.
3. Las subredes
Las subredes permiten a los clientes saber a qué sitio pertenecen en función de su dirección IP. Es
importante definir cada subred IP (IPv4 o IPv6) como un objeto de tipo subred Active Directory (LAN,
WAN, VPN). Si la dirección IP de un cliente no está comprendida en el rango de direcciones de una
subred, el cliente no será capaz de determinar a qué subred pertenece y esto puede acarrear
problemas de rendimiento.
Un sitio es solo útil cuando los clientes y los servidores saben a qué sitio pertenecen. Para conseguir
esto, la dirección IP del equipo cliente debe estar asociada a un sitio existente, y son los objetos de
clase subred los que permiten establecer esta asociación. Por tanto debemos definir previamente las
subredes de cada sitio.
Una subred está asociada a un sitio. Cuando un cliente se conecta al dominio, se identifica de
inmediato con su dirección IP para ser redirigido a un controlador de dominio de su sitio. Los objetos
de tipo Subred se almacenan en la partición de configuración del
directorio:CN=Subnet,CN=Schema,CN=Configuration,DC=<Dominio raíz del
bosque>
Un sitio puede poseer varias subredes. Las conexiones VPN deben definirse, también, en los objetos
de subred.
4. Los servidores de catálogo global

Los controladores de dominio que actúan como servidores de catálogo global se configuran desde la
consola Sitios y servicios de Active Directory. El primer controlador de dominio instalado en un
nuevo bosque Active Directory se define como servidor de catálogo global de forma predeterminada.
Como recordatorio, cuando una empresa tiene una infraestructura de Active Directory con varios
dominios, un servidor de catálogo global tiene una réplica de los objetos de los otros dominios. De
esta forma, un usuario de un dominio A podrá efectuar una búsqueda de un objeto situado en un
dominio B consultando un servidor de catálogo global de su dominio:
Para definir un controlador de dominio como servidor de catálogo global, basta con abrir la
consolaSitios y servicios de Active Directory, editar las propiedades del objeto NTDS Settings
asociado al controlador de dominio que se va a configurar y marcar la opción Catálogo global.
Los servidores de catálogo global permiten, también, almacenar la pertenencia de un grupo o

cuenta de usuario a un grupo universal. La pertenencia de cada objeto de grupo o usuario a un
grupo universal se replica siempre en los servidores que actúan como catálogo global. Si no se
encuentra disponible ningún servidor de catálogo global en un sitio o un dominio, los inicios de
sesión serán todos simplemente rechazados, para evitar cualquier problema de seguridad vinculado
al acceso a los recursos. Para evitar esto, si un sitio no dispone de un servidor de catálogo global en
cada controlador de dominio, se puede habilitar la actualización en cache de la pertenencia a grupo
universal (funcionalidad UGMC: Universal Group Membership Caching). Activando la funcionalidad
UGMC empleando la consola Sitios y servicios Active Directory, los servidores que albergan el
catálogo global mantendrán en caché la información de pertenencia a grupos universales. Si en un
momento concreto no existe ningún servidor de catálogo global disponible en el sitio, los
controladores de dominio podrán utilizar la información previamente almacenada en caché y de esta
forma autorizar el acceso a los recursos de red. Cuando la funcionalidad UGMC está activa, los
controladores de dominio que albergan el catálogo global actualizan la caché cada 8 horas.
5. Las particiones Active Directory

En una infraestructura multidominio que contiene varios sitios de Active Directory cada dominio
mantiene y actualiza los datos contenidos en la base de datos NTDS. Esta base de datos del
directorio contiene varias particiones (también llamadas contextos de nomenclatura, como la
partición de dominio, la partición de configuración o la partición de esquema) y los controladores de
dominio de cada sitio replican las copias o las réplicas de las particiones del directorio.
La partición de dominio se replica en todos los controladores de dominio de un mismo dominio

y no en los controladores de dominio incluidos en otros dominios.
La partición de esquema se replica en todos los controladores de dominio del bosque.

Cualquier controlador de dominio de cualquier sitio poseerá, por tanto, una réplica de la
partición de esquema.
La partición de configuración se replica en todos los controladores de dominio del bosque.
Cualquier controlador de dominio de cualquier sitio poseerá, también, una réplica de la
partición de configuración.
Los servidores de catálogo global tienen una utilidad muy importante en una infraestructura
multisitio.
6. Los vínculos de sitios

Por defecto, cada nuevo sitio que se agrega a la infraestructura Active Directory, se agrega al
vínculo de sitio llamado DEFAULTIPSITELINK. Los vínculos de sitio se encuentran en la consola Sitios
y servicios de Active Directory, en el nodo Inter-Site Transport - IP.
a. Funcionamiento de los vínculos de sitios
Todos los sitios pertenecientes al mismo vínculo de sitio pueden replicarse entre sí gracias a la
topología de replicación calculada automáticamente.
Por defecto cuando creamos un bosque, el objeto vínculo de sitios DEFAULTIPSITELINK se crea en
el complemento Sitios y servicios de Active Directory. En una estructura Active Directory compuesta
de varios sitios se recomienda crear manualmente los vínculos de sitios que reflejen la topología
física de la red.
Por defecto, todos los vínculos de sitios creados automáticamente por la topología de replicación
son transitivos, lo que significa que están interconectados para aumentar la tolerancia a fallos
relacionados con la replicación. Para desactivar la transitividad de los vínculos de sitios
automáticos, basta con deshabilitar la opción Enlazar todos los vínculos a sitios en las
propiedades del nodo vinculado al protocolo de transporte IP: Sites\Inter-Site Transport\IP.
Si la transitividad de los vínculos de sitios se encuentra deshabilitada, el administrador debe
entonces configurar manualmente los vínculos de sitios para obtener una ruta de replicación válida
en caso de error o pérdida de contacto con uno de los sitios, hablamos entonces de creación de
puentes de sitios.
b. Administración de los vínculos de sitios
Durante la edición de las propiedades de un vínculo de sitios, podemos configurar las opciones
siguientes:
La descripción.
Los sitios pertenecientes al vínculo de sitios.
El coste de utilización del vínculo de sitios.
El plazo para supervisión/replicación.
La programación de la replicación.
La descripción del vínculo de sitios es una información disponible para los administradores de la
infraestructura Active Directory. Permite identificar claramente un vínculo de sitios y conocer su
utilidad en el caso de una topología de replicación compleja.
Los sitios presentes en el vínculo de sitios se presentan directamente al comprobador de

coherencia para generar automáticamente una topología de replicación, y crear los objetos de
conexión adecuados.
Los costes del vínculo de sitios se utilizan para gestionar el tráfico de replicación. Los costes más
altos se utilizan para enlaces lentos y los costes más bajos para enlaces rápidos. Por defecto,
todos los vínculos están configurados con un coste con el valor 100.
La replicación entre sitios se basa en la exploración, no hay notificación de cambios para iniciar el
proceso de replicación. De manera predeterminada, cada 3 horas (180 minutos) un servidor
cabeza de puente interrogará a sus asociados de replicación para determinar si existen
modificaciones disponibles. Podemos modificar este valor para reducir el intervalo de exploración,
sabiendo que el valor mínimo es de 15 minutos.
La programación de la replicación del vínculo de sitios permite indicar la franja horaria autorizada
para la exploración y la replicación entre sitios.
Los vínculos de sitios deben poseer al menos dos sitios para poder ser creados.
7. Los puentes de sitio
Los puentes de sitio permiten crear manualmente vínculos entre sitios transitivos cuando la creación
de vínculos automática está desactivada. Cada vínculo de sitios posee entonces un controlador de
dominio servidor haciendo de cabeza de puente.
Un servidor cabeza de puente es un servidor responsable de cualquier réplica de una partición en el

sitio y fuera del sitio. Estos últimos están encargados de replicar las modificaciones de una partición
recibidas por los servidores cabeza de puente de otros sitios.
Cada sitio puede estar configurado para disponer de un servidor cabeza de puente que replicará los
datos a un servidor cabeza de puente de otro sitio. La creación de un puente de sitio se hace a
través de la consola Sitios y servicios de Active Directory, en el contenedor Inter-Site Transports \
IP:
Trabajos prácticos
La empresa INFONOVICE posee un sitio en Madrid y otro en León, y desea configurar los sitios de
Active Directory para que los usuarios de cada ciudad puedan identificar los recursos de sus sitios.
Para ello, solicitan sus servicios para configurar los controladores de dominio empleando la consola
Sitios y servicios de Active Directory para que los clientes puedan identificar su sitio de pertenencia.
Los sitios están conectados empleando un enlace de alta velocidad. Para evitar cualquier problema de
pérdida de comunicación con el servidor de catálogo global del sitio de León, activará la funcionalidad
de actualización en caché de los grupos universales.
La infraestructura Active Directory se compone de los controladores de dominio de Madrid

(representados en la maqueta por el servidor DC-01), y los controladores de dominio de León
(representados en la maqueta por el servidor DC-02). Los equipos cliente ubicados en Madrid están
integrados en la red 172.16.0.0/16 mientras que los equipos ubicados en León están integrados en la
red 192.168.0.0/24.
Puerta de enlace predeterminada: 192.168.0.254
1. Cambiar el nombre del sitio predeterminado

Paso 1: arranque el Administrador del servidor y, a continuación, en el menú Herramientas,
haga clic en Sitios y servicios de Active Directory.
Paso 2: despliegue el árbol de la consola para seleccionar el sitio por defecto llamado Default-
First-Site-Name.
Paso 3: haga clic con el botón derecho en el sitio por defecto y, a continuación, haga clic
enCambiar nombre. Escriba Madrid y valide la modificación:
2. Crear los sitios

Paso 1: abra el Administrador del servidor y, a continuación, en el menú Herramientas, haga
clic en Sitios y servicios de Active Directory.
Paso 2: en el árbol de la consola, haga clic con el botón derecho en la carpeta Sites y, a
continuación, haga clic en Nuevo sitio - Sitio.
Paso 3: en la ventana Nuevo objeto: Sitio, escriba León en el campo Nombre. A continuación,
seleccione el objeto de vínculo a sitios llamado DEFAULTIPSITELINK y haga clic en Aceptar:
Paso 4: la siguiente ventana le informa sobre las mejores prácticas a seguir después de la
creación de un objeto Sitio. Léalas y haga clic en Aceptar:
Paso 5: el sitio de León aparece, a continuación, en el árbol de la consola Sitios y servicios de

Active Directory:
3. Asignar servidores a un sitio
Paso 2: despliegue el árbol de la consola para desarrollar los nodos Sites, Madrid y Servers.
Aparece el conjunto de controladores de dominio porque el sitio Madrid era previamente el sitio
por defecto:
Paso 3: haga clic con el botón derecho en el controlador de dominio DC-02 y haga clic en Mover.
Paso 4: seleccione el sitio de León y haga clic en Aceptar:

Paso 5: despliegue el árbol de la consola para desarrollar el nodo Sites - León - Servers. El
controlador de dominio DC-02 aparece en adelante como asignado al sitio de León. Los usuarios
de este sitio podrán a partir de ahora contactar con este controlador de dominio durante el inicio
de sesión:
4. Crear subredes
Paso 2: en la consola, despliegue el árbol de carpetas.
Paso 3: a continuación, haga clic con el botón derecho en la carpeta Subnets y haga clic
enNueva - Subred.
Paso 4: en el campo Prefijo de la ventana Nuevo objeto: Subred escriba 172.16.0.0/16 y, a

continuación, seleccione el sitio Madrid. A continuación, haga clic en Aceptar:
Paso 5: la subred 172.16.0.0/16 dedicada al sitio Madrid aparece, ahora, en la consola Sitios y
servicios de Active Directory:
Paso 6: haga de nuevo clic con el botón derecho en la carpeta Subnets y haga clic en Nueva -
Subred.
Paso 7: en el campo Prefijo de la ventana Nuevo objeto: Subred escriba 192.168.0.0/24 y, a

continuación, seleccione el sitio León. A continuación, haga clic en Aceptar:
Paso 8: la subred 192.168.0.0/24 dedicada al sitio León aparece, ahora, en la consola Sitios y
servicios de Active Directory:
5. Configurar el catálogo global

Paso 2: despliegue el árbol de la consola para desarrollar el nodo Sites - León - Servers - DC-
02.
Paso 3: seleccione NTDS Settings y haga clic en Propiedades.
Paso 4: en la ventana Propiedades: NTDS Settings, verifique que la opción Catálogo globalestá
seleccionada y, a continuación, haga clic en Aceptar:
El controlador de dominio DC-02 está, ahora, configurado para actuar como catálogo global en el
sitio de León.
6. Configurar la caché
Paso 2: despliegue el árbol de la consola para desarrollar el nodo Sites - León.
Paso 3: en la parte derecha de la ventana Sitios y servicios de Active Directory, haga clic con
el botón derecho en NTDS Site Settings y haga clic en Propiedades:
Paso 4: en la ventana Propiedades: NTDS Site Settings, marque la opción Habilitar caché de
pertenencia al grupo universal. En la lista desplegable, especifique la actualización de la caché
desde Madrid y, a continuación, haga clic en Aceptar:
La pertenencia a los grupos universales estará en adelante activada en los controladores de

dominio que alberguen el catálogo del sitio de León. La información de la caché se replicará
desde los servidores de catálogo global del sitio de Madrid.
A lo largo de este capítulo, hemos visto todos los aspectos relativos a los sitios de Active Directory.
Los sitios Active Directory son objetos del directorio almacenados en la partición de
configuración.
Los sitios ayudan a los clientes a autenticarse en un controlador de dominio de su mismo sitio.
Los sitios proporcionan una ayuda para la ubicación de los servicios.
Los sitios permiten gestionar el tráfico de replicación.
Las subredes son objetos del directorio almacenados en la partición de configuración.
El catálogo global contiene un juego de atributos parcial de los objetos del bosque.
La consola Sitios y servicios de Active Directory permite gestionar los sitios y vínculos de sitio.
Un vínculo a sitio contiene varios sitios que están autorizados a replicarse entre sí.
Los puentes de sitio permiten crear manualmente vínculos de sitio transitivos.
La topología de replicación de un sitio se calcula automáticamente mediante el comprobador de

coherencia (KCC).
Se recomienda crear manualmente la topología de replicación entre sitios.

preguntas.
1. Preguntas
1 ¿En qué partición del directorio se almacenan los objetos Sitios?
2 ¿Qué complemento permite gestionar los sitios Active Directory?
3 ¿En qué partición del directorio se almacenan los objetos Subred?
4 ¿Cuál es el procedimiento a seguir para configurar un controlador de dominio como servidor

de catálogo global?
5 ¿Con cuántos sitios debe contar un vínculo de sitio como mínimo?
6 ¿Para qué sirve un sitio de Active Directory?
7 ¿A qué consola de administración corresponde el complemento dssite.msc?
8 ¿Para qué sirve la funcionalidad UGMC?
2. Resultados
punto.
3. Respuestas
1 ¿En qué partición del directorio se almacenan los objetos Sitios?
Los objetos Sitios se almacenan en la partición Configuration del directorio en la ubicación

siguiente: CN=Sites,CN=Configuration,DC=<Dom inio raíz del bosque>
2 ¿Qué complemento permite gestionar los sitios Active Directory?
El complemento Sitios y servicios de Active Directory permite gestionar los objetos Site. Este
complemento se encuentra en la carpeta %SYSTEMROOT%\System 32\dssite.m sc
3 ¿En qué partición del directorio se almacenan los objetos Subred?
Los objetos Subred están almacenados en la partición Configuration del directorio en la ubicación
siguiente: CN=Subnet,CN=Schem a,CN=Configuration,DC=<Dom inio raíz del bosque>
4 ¿Cuál es el procedimiento a seguir para configurar un controlador de dominio como servidor

de catálogo global?
Para configurar un controlador de dominio como servidor de catálogo global hay que abrir la consola
Sitios y servicios de Active Directory, editar las propiedades NTDS Settings asociado al objeto de
servidor, y marcar la opción Catálogo global.
5 ¿Con cuántos sitios debe contar un vínculo de sitio como mínimo?
Un vínculo de sitio debe poseer al menos dos sitios para poder ser creado.
6 ¿Para qué sirve un sitio de Active Directory?
Un sitio Active Directory permite fundamentalmente gestionar el tráfico de replicación y facilitar la

ubicación de los servicios.
7 ¿A qué consola de administración corresponde el complemento dssite.msc?

dssite.msc corresponde al complemento Sitios y serv icios de Activ e Directory.
8 ¿Para qué sirve la funcionalidad UGMC?
La funcionalidad UGMC (Universal Group Membership Caching) permite almacenar en caché los
datos de pertenencia a grupos universales. Ésta permite autorizar la autenticación de usuarios
cuando ningún servidor de catálogo global está disponible.
Conocer los servicios de dominio Active Directory.
Conocer el despliegue distribuido de Active Directory.
Conocer los sitios y servicios de Active Directory.
Conocer las particiones de dominio.
2. Objetivos
Comprender la replicación de Active Directory.
Implementar la replicación de Active Directory entre distintos sitios.
Resolver problemas y supervisar la replicación de Active Directory.

Presentación de la replicación de Active Directory
En una infraestructura Active Directory, cuando un administrador efectúa modificaciones en un
controlador de dominio, los datos modificados se replican en el conjunto de los controladores de
dominio del bosque. Cuando la replicación tiene lugar entre los controladores de dominio, hablamos
de replicación con varios maestros. De este modo, no hay una relación maestro/esclavo entre los
controladores de dominio porque cada DC está disponible en escritura. Los controladores de dominio
de solo lectura, también llamados RODC, no se encuentran disponibles en escritura y, por tanto, no
pueden replicar las posibles modificaciones efectuadas en la base de datos de Active Directory. Por lo
tanto, los servidores de RODC reciben datos que mantienen los controladores de dominio en
escritura. Hablamos de replicación unidireccional.
Un administrador debe asegurarse de que la infraestructura Active Directory replica correctamente

toda la información de la base de datos NTDS a través de todos los controladores de dominio del
bosque.
1. Replicación de Active Directory

En una infraestructura Active Directory, cada controlador de dominio incluye una copia de la base de
datos de Active Directory. Esta base de datos se divide en varias particiones donde el ámbito de la
replicación puede abarcar el dominio o el bosque Active Directory. Estas particiones representan el
contexto de nomenclatura. Un contexto de nomenclatura corresponde a los elementos siguientes:
Dominio: contiene todos los objetos almacenados en un dominio (cuentas de usuario,

cuentas de equipo, grupos y directivas de grupo).
Configuración: contiene los objetos que representan la estructura lógica del bosque - los
dominios - y la topología física - los sitios, las subredes y los servicios.
Esquema: define las clases de objeto y sus atributos, que pueden estar contenidos en la
base de datos de Active Directory.
Las particiones replicadas a escala del bosque:
Partición de esquema
Partición de configuración
Las particiones replicadas a escala del dominio:
Partición de dominio
Partición de aplicación
Los servicios de dominio Active Directory son responsables de mantener actualizados los datos
contenidos en cada controlador de dominio implementando una topología de replicación que
encargará a los controladores de dominio replicar las particiones modificadas que se encuentran en
los controladores de dominio configurados en la topología de replicación. Los controladores de
dominio se convierten en asociados de replicación. Este conjunto de réplicas entre los controladores
de dominio aporta un gran nivel de tolerancia a fallos. Si algún controlador de dominio se quedara,
súbitamente, sin servicio, tanto la autenticación de los usuarios como la gestión de los permisos
dentro del dominio seguirían funcionando, porque los asociados de replicación todavía en línea
contienen, también, una copia de la base de datos Active Directory.
a. Programación de la replicación
Como mencionamos previamente, cada controlador de dominio conserva y mantiene una copia
actualizada de la base de datos Active Directory pero, ¿cómo saber cuándo y qué replicar?
Una infraestructura de replicación de varios maestros implica que cualquier controlador de dominio
de escritura puede forzar una replicación cuando se modifica su contenido. Para saber si ha tenido
lugar algún cambio en el dominio, los controladores de dominio interrogan periódicamente a sus
asociados de replicación para saber si la replicación es necesaria o no (Polling).
Es posible modificar la programación de la replicación de Active Directory mediante la consola Sitios

y servicios de Active Directory. De manera predeterminada, en un entorno de un único dominio,
un controlador de dominio consulta su asociado de replicación una vez cada hora:
Si se planifican replicaciones de varios maestros, ciertas modificaciones de la configuración de

Active Directory conllevan una replicación inmediata en el conjunto de los controladores de
dominio. Por ejemplo, cuando un administrador desactiva una cuenta de usuario, el controlador de
dominio que haya experimentado la modificación envía una notificación a sus asociados de
replicación para que repliquen la actualización inmediatamente. De esta forma, la cuenta de
usuario deshabilitada no podrá iniciar sesión en el dominio.
Para sitios conectados mediante enlaces de baja velocidad, puede ser imperativo reducir el tráfico
de replicación Active Directory autorizando a los controladores de dominio a escrutar las
actualizaciones de sus asociados de replicación en una franja horaria donde la tasa de actividad
de los usuarios sea inferior. Solo las actualizaciones importantes, como la modificación de una
contraseña, podrán generar una replicación inmediata entre los diferentes asociados de la
topología de replicación.
b. Topología de replicación
Por defecto, los servicios de dominio Active Directory crean automáticamente la topología de
replicación. Cuando un administrador agrega un controlador de dominio, el objeto que representa
la cuenta de equipo del servidor se agrega automáticamente en la consola Sitios y servicios de
Active Directory. Para construir la topología de replicación, los servicios de dominio Active
Directory utilizan el componente Comprobador de coherencia (KCC, Knowledge
ConsistencyChecker) que crea automáticamente un objeto de conexión en la consola Sitios y
servicios de Active Directory para indicar los diferentes asociados de replicación de los
controladores de dominio. Esto permite saber en qué controladores de dominio replicar los datos.
Si se elimina algún controlador de dominio, el comprobador de coherencia actualiza los objetos de
conexión reorganizando dinámicamente la topología de replicación.
A continuación aparece el ejemplo de una topología de replicación con objetos de conexión

creados por el comprobador de coherencia:
Un administrador puede, también, crear objetos de conexión manualmente para mantener el
control total sobre la topología de replicación. Un objeto de conexión creado manualmente nunca
será eliminado por la gestión dinámica del comprobador de coherencia. Por este motivo, se
desaconseja gestionar topologías de replicación de varios maestros de forma estática porque esto
complica considerablemente la administración.
Cuando dos sitios de una infraestructura intercambian datos, la topología de replicación Active
Directory (KCC) emplea una ruta lógica para replicar los datos. Cada sitio se encuentra lógicamente
conectado a otro sitio a través de un controlador de dominio que se encargará de replicar los
datos entre los sitios.
Si la infraestructura Active Directory está compuesta de varios sitios, una topología de replicación
entre sitios (ISTG: Inter Site Topology Generator) se despliega para que cada sitio pueda encontrar
una ruta de replicación a través de un controlador de dominio perteneciente a otro sitio. El
generador de topología entre sitios crea automáticamente los objetos de conexión para crear las
rutas de replicación Active Directory.
Las modificaciones efectuadas en el directorio se replican entre controladores de dominio

utilizando dos protocolos:
DS-RPC (Directory Service Remote Procedure Call): DS-RPC aparece en el complemento Sitios
y servicios de Active Directory bajo la forma IP. IP se utiliza en toda replicación entre
sitios y es el protocolo preferido por defecto por la replicación entre sitios.
ISM-SMTP (Inter Site Messaging - Simple Mail Transfer Protocol): este protocolo solo se utiliza
cuando las conexiones entre los sitios no son fiables o no están siempre disponibles. La
implementación de una autoridad certificadora permite la securización del tráfico de
replicación en las redes no fiables. El inconveniente de utilizar el SMTP en una topología de
replicación es que este último no puede utilizarse para replicar el contexto de nomenclatura
del dominio. Por este motivo, la replicación Active Directory empleando el protocolo SMTP en
el conjunto de los controladores de dominio de la empresa debe asegurarse en un dominio
separado. Muy pocas organizaciones utilizan el protocolo SMTP para la replicación Active
Directory debido a la carga administrativa requerida para configurar y gestionar una
autoridad de certificación (CA).
En una topología de replicación, no puede haber más de tres saltos. Esto permite optimizar la
replicación y limitar el tráfico en la red. En una red compuesta de 3 a 5 controladores de dominio, a
razón de cerca de 15 segundos de espera por salto, una modificación en Active Directory se
replicará en menos de un minuto.
En una topología de replicación creada automáticamente, si uno de los controladores de dominio

no se encuentra disponible, algunos asociados de replicación no podrán recibir notificaciones
durante una modificación. Por este motivo existe un proceso de sondeo de las modificaciones
(también llamado polling). Este proceso permite verificar, junto con su asociado de replicación, si
se ha realizado alguna actualización (por defecto, el sondeo se realizará cada hora). Si el servidor
interrogado no responde, el asociado de replicación inicia el comprobador de coherencia para
validar la topología de replicación que se reconstruirá si el controlador de dominio está realmente
desconectado.
Para visualizar la topología de replicación, basta con realizar los siguientes pasos:
Desde el Administrador del servidor, abra la consola Sitios y servicios de Active Directory.
Despliegue el árbol de la consola para identificar el controlador de dominio DC-01 en la

ubicación siguiente: Sitios y servicios de Active directory - Sites - <Nombre del sitio> -
Servers
Despliegue el árbol del servidor DC-01 y seleccione NTDS Settings. En la ventana de la

derecha aparece, ahora, un objeto de conexión generado automáticamente por el
comprobador de coherencia. Este objeto de conexión está almacenado en la partición de
configuración e indica cuál es el servidor asociado de replicación del servidor DC-01.
c. Objetos de conexión
Un objeto de conexión puede crearse de dos maneras:
Automáticamente por el comprobador de coherencia
Manualmente por el administrador
Cuando un administrador edita un objeto de conexión, puede modificar los elementos siguientes:
La programación
El asociado de replicación
El campo Contextos de nomenclatura replicados indica las particiones que se replicarán en el
asociado de replicación. Encontramos, en particular, las particiones de:
Esquema
Configuración
ForestDnsZone
DomainDnsZone
El botón Cambiar programación permite especificar las franjas horarias autorizadas para realizar
una replicación Active Directory entre los asociados de replicación del objeto de conexión
específico:
El botón Cambiar de la sección Replicar desde permite especificar el controlador de dominio sobre
el que se replicarán los datos Active Directory:
Cada objeto de conexión de la consola Sitios y servicios de Active Directory representa un

sentido de replicación unidireccional entre dos asociados de replicación.
Cuando el comprobador de coherencia ha generado la topología de replicación completa, un

administrador puede forzar una replicación entre los diferentes asociados de un objeto de
conexión realizando los pasos siguientes:
Desde la consola Sitios y servicios de Active Directory, despliegue el árbol de la consola
para seleccionar un objeto de conexión de un controlador de dominio.
Haga clic con el botón derecho en el objeto de conexión generado por el comprobador de
coherencia y haga clic en Replicar ahora:
Si un administrador elimina accidentalmente un objeto de conexión creado automáticamente por el

comprobador de coherencia, siempre es posible generar una nueva topología de replicación
realizando los pasos siguientes:

para seleccionar un controlador de dominio. A continuación, despliegue el nodo
correspondiente al controlador de dominio y seleccione NTDS Settings.
Haga clic con el botón derecho en NTDS Settings, haga clic en Todas las tareas y, a
continuación, en Comprobar la topología de replicación.
Espere varios minutos a que el comprobador de coherencia analice y cree la topología de

replicación adecuada para el dominio. Actualice a continuación la consola Sitios y servicios de
Active Directory. Los objetos de conexión del controlador de dominio reaparecen:
Un administrador puede crear manualmente un objeto de conexión para forzar la replicación de un

controlador de dominio en otro controlador de dominio específico, siguiendo este procedimiento:

para seleccionar un controlador de dominio. A continuación, despliegue el nodo
correspondiente al controlador de dominio y seleccione NTDS Settings.
Haga clic con el botón derecho en NTDS Settings, haga clic en Nuevo y, a continuación,
despliegue en Conexión.
En el resultado de la búsqueda de los controladores de dominio, seleccione el asociado de

replicación sobre el que desea replicar y haga clic en Aceptar:
Escriba el nombre del objeto de conexión para identificarlo rápidamente en la consola Sitios y
servicios de Active Directory y haga clic en Aceptar:
El nuevo objeto de conexión aparece, ahora, en la consola Sitios y servicios de Active Directory:
d. Replicación a los RODC
Una infraestructura Active Directory utiliza un sistema de replicación de varios dominios, debido a
que un administrador puede crear o modificar objetos en cualquier controlador de dominio y los
cambios se replican en otros controladores de dominio. Un controlador de dominio de solo lectura
(RODC) no puede ser alterado por un administrador. Esto no impide al comprobador de coherencia
(KCC) crear objetos de conexión destinados a replicar los datos de un controlador de dominio de
escritura sobre un controlador de dominio de solo lectura. En este caso particular, el comprobador
de coherencia creará una topología de replicación unidireccional para actualizar los controladores
de dominio de solo lectura.
Sin embargo, a veces ocurre que una operación necesita una escritura en la base de datos Active
Directory. En este caso, el controlador de dominio de solo lectura transfiere la solicitud de escritura
a un controlador de dominio en escritura. Una vez realizada la modificación, el controlador de
dominio que haya realizado el registro replica el contenido de la base de datos Active Directory que
contiene el controlador de dominio de solo lectura. El controlador de dominio de solo lectura indica
de esta forma a la aplicación o el usuario que haya realizado la solicitud de escritura el nombre del
controlador de dominio que debe contactar para seguir las operaciones de modificación de la base
de datos Active Directory:
e. Replicación de contraseñas (RODC)
La principal utilidad de un controlador de dominio de solo lectura (RODC: Read Only Domain
Controller) es mejorar el proceso de autenticación de los usuarios de un sitio remoto y mejorar la
seguridad sin almacenar ninguna contraseña. Sin embargo, es posible activar la escritura en caché
de algunas contraseñas de cuentas de usuario configurando una directiva de replicación de
contraseñas para los controladores de dominio de solo lectura. Cuando la contraseña de una
cuenta de usuario se almacena en caché, el servidor RODC puede autenticar directamente a un
usuario asignándole un ticket de servicio que le permite acceder a los recursos. En caso contrario,
el servidor RODC transmite la solicitud de autenticación del usuario a un controlador de dominio en
escritura. Solo las cuentas de usuario miembros del grupo de seguridad del dominio local Grupo de
replicación de contraseña RODC permitida, pueden tener su contraseña guardada en caché en
un RODC.
La directiva de replicación de contraseña de un servidor RODC define, entonces, aquellas cuentas
de usuario cuyas contraseñas se almacenarán en caché. Para acceder a la configuración de la
directiva de replicación de contraseñas basta con editar las propiedades de un controlador de
dominio en lectura desde la consola Usuarios y equipos de Active Directory:
La directiva de replicación de contraseñas de un RODC contiene varios grupos por defecto:
Administradores
Grupo de replicación de contraseña RODC permitida
Grupo de replicación de contraseña RODC denegada
Opers. de cuentas
Operadores de copia de seguridad
Opers. de servidores
Solo el grupo donde las contraseñas RODC están permitidas tiene configurado el parámetro
comoPermitir. Por defecto, el grupo llamado Grupo de replicación de contraseña RODC
permitida no contiene ninguna cuenta de usuario definida. El administrador debe, por tanto,
configurar manualmente la directiva de replicación de contraseñas.
Para que un usuario cuya contraseña se ha guardada en caché pueda iniciar una sesión en un
controlador de dominio de solo lectura, la contraseña de la cuenta del equipo del usuario debe
estar, también, configurada para guardarse en caché.
f. Los conflictos de replicación
En una infraestructura Active Directory que emplea una replicación de varios dominios, si dos
administradores trabajan cada uno en un controlador de dominio distinto y realizan una
modificación al mismo tiempo sobre el mismo objeto, indicando valores diferentes para el mismo
atributo, se puede producir un conflicto de replicación. Para evitar esta situación, Microsoft ha
implementado un sistema de detección de conflictos que permite aportar una solución adecuada
para todas las posibles situaciones que puedan causar un conflicto de actualización.
Para ello, cada objeto de Active Directory posee los siguientes atributos específicos que ayudan a
resolver conflictos de replicación:
Atributo de versión: durante la creación de un objeto, éste se crea automáticamente con

un número de versión almacenado en el atributo uSNCreated del objeto. Este atributo se
incrementa con cada modificación en el atributo uSNChanged del mismo objeto. Por
ejemplo, una cuenta de usuario con el atributo de versión 15 pasará automáticamente a la
versión 16 si un administrador cambia una propiedad del objeto. Entonces, durante un
conflicto de replicación, la modificación de un objeto cuyo número de versión sea mayor será
prioritaria.
Atributo GUID (Globally Unique IDentifier): durante la creación de un objeto, se le asigna un

valor específico en el atributo objectGUID. Este valor representa un identificador único en el
bosque que no puede ser modificado. El identificador asignado se calcula mediante un
algoritmo y la fecha y hora de la creación para generar un código de 128 bits. Durante un
conflicto de replicación relativo a la creación simultánea de dos objetos con el mismo nombre
en la misma UO, el objeto con el atributo objectGUID generado en primer lugar tendrá
prioridad.
Atributo de marca de tiempo: cada modificación de un objeto implica la actualización del

atributo when Changed, lo que permite registrar una marca de tiempo de la modificación.
Durante un conflicto de replicación, la modificación del objeto con la fecha de modificación
más reciente será prioritaria.
2. Replicación SYSVOL
a. Presentación de la carpeta SYSVOL
La carpeta SYSVOL es una carpeta local que se crea automáticamente durante la promoción de un
servidor a controlador de dominio para albergar los servicios de dominio Active Directory.
Por defecto, la carpeta SYSVOL se crea en la siguiente ruta: C:\Windows\SYSVOL

El rol de la carpeta SYSVOL es principalmente albergar los scripts de inicio de sesión así como los
parámetros de directivas de grupo (GPO). La carpeta C:\Windows\SYSVOL\sysvol está
compartida de manera predeterminada para que cualquier usuario del dominio pueda recuperar los
elementos necesarios para el inicio de sesión en el dominio. En esta carpeta compartida,
encontramos un enlace simbólico que nos dirige a la carpeta C:\Windows\SYSVOL\domain:
Parámetros de directivas de grupo: si un administrador del sistema modifica un objeto de

directiva de grupo, los parámetros configurados se registran automáticamente en la
carpetaC:\Windows\SYSVOL\domain\Policies\<GUID de la GPO>.
Scripts de inicio de sesión: si un administrador crea un script de inicio de sesión para que
los usuarios puedan acceder a él desde la red, el script será depositado en la
carpetaC:\Windows\SYSVOL\domain\scripts.
La carpeta SYSVOL es muy importante para el buen funcionamiento de los servicios de dominio
Active Directory.
b. Replicación de la carpeta SYSVOL
Para que cada controlador de dominio mantenga y albergue una misma copia del directorio
SYSVOL, el proceso de replicación definido por el comprobador de coherencia asegura que el
conjunto de los controladores de dominio estén actualizados. Se trata de una replicación de
archivos de un controlador de dominio a otro. En las versiones anteriores de Windows Server, el
proceso encargado de replicar el directorio SYSVOL era FRS (File Replication System). A partir de
Windows Server 2008, se utiliza el proceso DFS-R (Distributed File System Replication).
Para realizar la replicación de la carpeta SYSVOL con DFS-R, el nivel funcional del dominio debe
estar configurado al menos como Windows Server 2008.
Para migrar el sistema de replicación de la carpeta SYSVOL para utilizar el sistema de replicación
DFS-R, el administrador del sistema debe utilizar la herramienta DFSRMIG ubicada
enC:\Windows\System32\Dfsrmig.exe.
La migración del sistema de replicación FRS a DFS-R se compone de cuatro etapas:
0 (start): etapa por defecto del controlador de dominio. Solo se utiliza FRS para replicar el
directorio SYSVOL en esta etapa.
1 (prepared): se crea una copia del directorio SYSVOL en una carpeta llamada
SYSVOL_DFSR y, a continuación, se agrega al juego de replicación existente. DFS-R replica a
continuación el contenido de las carpetas SYSVOL_DFSR en todos los controladores de
dominio. FRS sigue replicando las carpetas SYSVOL originales y los clientes siguen utilizando
el directorio SYSVOL en esta etapa.
2 (redirected): la carpeta compartida SYSVOL\sysvol se redirige para ser en adelante

SYSVOL_DFSR\sysvol. Los clientes emplean en adelante la carpeta SYSVOL_DFSR para
obtener los scrips de inicio de sesión y las plantillas de directivas de grupo.
3 (eliminated): se detiene el servicio de replicación FRS, lo que detiene automáticamente la

replicación de la carpeta SYSVOL.
El comando dsfrmig.exe cuenta con tres opciones:
Setglobalstate [state]: esta opción configura el estado de la migración DFS-R

global en curso, y se aplica a todos los controladores de dominio. El estado especificado en
el parámetro [state] es un número comprendido entre 0 y 3. Cada controlador de
dominio será notificado del nuevo estado de la migración DFS-$ y migrará automáticamente
a ese estado.
Getglobalstate: esta opción reporta del estado de la migración DFS-R global en curso.
Getmigrationstate: esta opción reporta el estado de la migración en curso de cada
controlador de dominio. La opción Getmigrationstatepermite controlar el progreso de
los controladores de dominio indicando el estado de la migración DFS-R.
En caso de producirse algún problema al pasar de una etapa a la siguiente, es posible volver
a las etapas anteriores utilizando la opción setglobalstate. Sin embargo, después de haber
usado la opción setglobalstate para especificar la etapa 3 (eliminated), es imposible volver a las
etapas anteriores.
3. Supervisar y resolver problemas

Para supervisar y gestionar la replicación con el objetivo de resolver problemas o para optimizarla,
podemos utilizar una de estas dos herramientas de generación de
informes: Repadmin.exe(herramienta de diagnóstico de la replicación) y Dcdiag.exe (herramienta
de diagnóstico de los servicios de directorio). Estas herramientas están disponibles en la
carpetaC:\Windows\system32, o directamente a partir de un símbolo del sistema.
Repadmin.exe: esta herramienta por línea de comandos permite conocer el estado de la

replicación en cada controlador de dominio. Es posible utilizar repadmin.exe para crear la
topología de replicación y forzar la replicación entre los controladores de dominio.
Ejemplo de utilización del comando repadmin.exe:
En los ejemplos siguientes la variable DSA_NAMES representa un identificador de red (nombre

DNS, NetBIOS o dirección IP de un controlador de dominio).
Repadmin /showrepl [DSA_NAMES]: permite mostrar los socios de replicación de un

controlador de dominio.
Repadmin /showconn [DSA_NAMES]: permite mostrar los objetos de conexión de un
controlador de dominio.
Repadmin /showobjmeta [DSA_NAMES] [CN_Objeto]: permite mostrar los

metadatos de un objeto, sus atributos y replicación.
Repadmin /kcc: fuerza al comprobador de coherencia a recalcular la topología de

replicación entrante para el servidor.
Repadmin /replicate [DESTINO_DSA_NAMES] [FUENTE_DSA_NAMES]

[nombre_de_contexto_de_nomenclatura]: permite forzar la replicación entre dos
socios.
Repadmin /syncall [DSA_NAME] /A /e: permite sincronizar un controlador de

dominio con todos sus socios, incluyendo los de demás sitios.
Dcdiag.exe: es una herramienta por línea de comandos que permite diagnosticar el estado
de los servicios de directorio. Esta herramienta realiza un número de verificaciones y genera
un informe del estado global de la replicación y de la seguridad de los servicios de dominio de
Active Directory. El uso de la herramienta dcdiag.exe sin parámetros ejecuta un conjunto de
pruebas y presenta los resultados.
Ejemplo de comandos dcdiag.exe:
Dcdiag /c: ejecuta casi todas las pruebas de diagnóstico.
Dcdiag /Test:FrsEvent: muestra todos los errores de funcionamiento del servicio de

replicación de archivos (FRS).
Dcdiag /Test:DFSREvent: muestra todos los errores de funcionamiento del servicio

de replicación de archivos (DFS-R).
Dcdiag /Test:Intersite: detecta los fallos que pudieran impedir o retrasar la

replicación entre sitios.
Dcdiag /Test:KccEvent: identifica los errores de verificación de coherencia de los

datos.
Dcdiag /Test:Replications: verifica la puntualidad de la replicación entre

controladores de dominio.
Dcdiag /Test:Topology: verifica que la topología de replicación está completamente

conectada para todos los DSA.
Dcdiag /Test:VerifyReplicas: verifica que todas las particiones del directorio de

aplicaciones están completamente presentes en los controladores de dominio que
albergan las réplicas.
Trabajos prácticos
La empresa INFONOVICE posee dos sitios principales, estando uno en Madrid y el otro en León.
Existen también sucursales en Nueva York y Toledo. Esta empresa desea configurar la replicación
Active Directory entre estos sitios. Los dos sitios principales están conectados entre sí mediante
enlaces ADSL de alta velocidad, y cada sitio dispone de controladores de dominio de escritura. El sitio
de Nueva York posee un controlador de dominio en escritura pero está conectado mediante un enlace
de baja velocidad. Para realizar el esquema, la empresa solicita sus servicios para configurar la
replicación entre los sitios cada hora entre los sitios principales. Otro sitio basado en Toledo está
conectado a los demás sitios mediante un enlace de baja velocidad. Hay pocos usuarios en el sitio de
Toledo, por lo que está prevista la instalación de un controlador de dominio de solo lectura. La
replicación a este pequeño sitio tendrá lugar cada 4 horas al igual que para el sitio de Nueva York.
Deberá configurar la directiva de replicación de las contraseñas para almacenar en caché la
contraseña de los usuarios no confidenciales del sitio.
La infraestructura Active Directory está compuesta por un controlador de dominio en Madrid

(representada en la maqueta por el servidor DC-01), un controlador de dominio en León
(representado en la maqueta por el servidor DC-02) y un controlador de dominio en Nueva York
(representado en la maqueta por el servidor DC-03). El sitio de Toledo cuenta con un controlador de
dominio de solo lectura (representado en la maqueta por el servidor DC-04). Para simplificar el
enrutamiento del entorno de prueba, el conjunto de los sitios se ubicará en la misma subred
(192.168.0.0/24). En un entorno de producción, cada sitio debe poseer su propia dirección de red
para que los clientes puedan fácilmente identificar el controlador de dominio asociado a su subred.
DC-01: controlador de dominio infonovice.priv (Madrid), servidor DNS y DHCP
DC-02: controlador de dominio infonovice.priv (León), servidor DNS y DHCP
DC-03: controlador de dominio infonovice.priv (Nueva York), servidor DNS
DC-04: controlador de dominio (RODC) infonovice.priv (Toledo)
Requisitos previos:
Instale y configure los controladores de dominio.
Renombre el sitio por defecto indicando Madrid.
Cree los otros tres sitios: Nueva York, Toledo y León.
Asigne el controlador de dominio DC-02 al sitio de León.
Asigne el controlador de dominio DC-03 al sitio de Nueva York.
Asigne el controlador de dominio (RODC) DC-04 al sitio de Toledo.

En este punto, todos los sitios están conectados en el mismo vínculo de sitio por defecto llamado
DEFAULTIPSITELINK.
1. Configurar la replicación
Paso 2: despliegue el árbol de la consola: Sitios y servicios de Active Directory - Sites - Inter-
Site Transports - IP. Haga clic con el botón derecho en IP y haga clic en Nuevo vínculo a sitios.
Paso 3: en la ventana Nuevo objeto - Vínculo de sitio, escriba SUCURSALES en el

campoNombres y, a continuación, agregue los sitios de Nueva York y Toledo a este nuevo vínculo.
Haga clic en Siguiente.
Paso 4: edite las propiedades del vínculo SUCURSALES para configurar el campo Replicar
cadaen 240 minutos. A continuación, haga clic en el botón Cambiar programación:
Paso 5: en la ventana Programación para SUCURSALES, prohíba la replicación en fines de
semana y, a continuación, haga clic en Aceptar y cierre las propiedades del vínculo SUCURSALES:
Paso 6: haga clic con el botón derecho en DEFAULTIPSITELINK para cambiar el nombre del
vínculo por defecto escribiendo CENTRALES:
Paso 7: edite las propiedades del vínculo CENTRALES para configurar el campo Replicar
cada en60 minutos. Asigne solamente los sitios de Madrid y León en este vínculo y haga clic
en Aceptar:
La replicación está, ahora, configurada con los vínculos de sitio creados manualmente. Los
controladores de dominio situados en el vínculo CENTRALES se replicarán cada 60 minutos, mientras
que los controladores de dominio situados en el vínculo SUCURSALES se replicarán entre sí cada 240
minutos:
2. Configurar la directiva RODC

clic en Usuarios y equipos de Active Directory.
Paso 2: cree los grupos de seguridad de tipo global Usuarios-Toledo y Equipos-Toledo en la

UOINFONOVICE\Grupos. A continuación, cree las cuentas de usuario Usuario1 y Usuario2 en la
UO INFONOVICE\Usuarios. Las dos cuentas de usuario deben ser miembros del
grupoUsuarios-Toledo. Cree a continuación las cuentas de equipo Equipo1 y Equipo2 en la
UOINFONOVICE\Equipos. Las dos cuentas de usuario deben ser miembros del grupo Equipos-
Toledo.
Paso 3: despliegue el árbol de la consola hasta seleccionar la Unidad organizativa Domain

Controllers:
Paso 4: haga clic con el botón derecho en el controlador de dominio DC-04 (cuyo tipo está
indicado como solo lectura, GC) y haga clic en Propiedades.
Paso 5: haga clic en la pestaña Directiva de replicación de contraseñas y, a continuación, haga

doble clic en el único grupo donde la configuración indica Permitir (se trata del grupo de dominio
local llamado Grupo de replicación de contraseña RODC permitida).
Paso 6: en la ventana de las propiedades del grupo de seguridad de dominio local, haga clic en
la pestaña Miembros y, a continuación, en el botón Agregar.
Paso 7: seguidamente busque el grupo de seguridad global llamado Usuarios-Toledo y haga clic
en Aceptar dos veces:
Paso 8: en la ventana Propiedades: DC-04, haga clic en el botón Opciones avanzadas de la

pestaña Directiva de replicación de contraseñas.
Paso 9: en la ventana Directiva de replicación de contraseñas avanzada para DC-04, haga clic
en la pestaña Directiva resultante y, a continuación, haga clic en el botón Agregar.
Paso 10: busque la cuenta de usuario llamada Usuario1 y, a continuación, haga clic en Aceptar.
La cuenta aparece con una configuración resultante Permitir. Esto quiere decir que la contraseña
de la cuenta de usuario seleccionado está autorizada a ser guardada en caché en el servidor
RODC:
Paso 11: haga clic en la pestaña Uso de directivas.
Paso 12: haga clic en el botón Rellenar contraseñas previamente.
Paso 13: busque las cuentas de usuario Usuario1 y Usuario2 y, a continuación, haga clic
enAceptar:
Paso 14: se abre la ventana Rellenar contraseñas previamente. El mensaje de aviso indica que
las cuentas de equipo usadas para el inicio de sesión por los usuarios seleccionados deben
agregarse también al grupo de contraseña autorizado en RODC. Haga clic en Sí:
Paso 16: agregue el grupo de seguridad global Equipos-Toledo en el grupo llamado Grupo de
replicación de contraseña RODC permitida:
Paso 17: repita las etapas 11 a 12 para buscar las cuentas de equipo Equipo1 y Equipo2. Haga
clic en Sí para rellenar las contraseñas de las cuentas de equipo:

Una vez que todas las contraseñas de las cuentas de usuario y de equipo estén almacenadas en la
caché del controlador de dominio de solo lectura, aparecen en la pestaña Uso de directivas:
3. Monitorizar la replicación
Paso 1: abra un símbolo del sistema con privilegios de administrador.
Paso 2: escriba el comando siguiente para mostrar todos los socios de replicación del controlador
de dominio DC-01:
repadmin /showrepl DC-01

Paso 3: escriba el comando siguiente para mostrar el conjunto de objetos de conexión del
comprobador de coherencia de la información del controlador de dominio DC-01:
repadmin /showconn DC-01

Paso 4: escriba el comando siguiente para forzar al comprobador de coherencia de la información
a volver a calcular la topología de replicación del controlador de dominio:
repadmin /kcc
Paso 5: escriba el comando siguiente para forzar la sincronización del controlador de dominio DC-
01 con todos sus socios de replicación:
repadmin /syncall DC-01 /A /e

Paso 6: escriba el comando siguiente para verificar la topología de replicación:
dcdiag /test:topology
Paso 7: escriba el comando siguiente para comprobar la puntualidad del controlador de dominio
sobre el que se ejecuta el comando:
dcdiag /test:replications
A lo largo de este capítulo, hemos visto todos los aspectos relativos a la replicación de Active Directory
en Microsoft Windows Server 2012 R2. Podríamos resumirse de la siguiente manera:
En una infraestructura Active Directory que cuente con más de un controlador de dominio, cada
modificación en el directorio se replica en los demás controladores de dominio.
Existen dos tipos de controladores de dominio. Los controladores de dominio de escritura y los
controlador de dominio de solo lectura (RODC).
El directorio está dividido en varias particiones que se replican, algunas a escala de bosque
(partición de esquema y de configuración) y otras a escala de dominio (partición de dominio y
de aplicación).
Un administrador puede configurar y gestionar la replicación a través del complemento Sitios y

servicios de Active Directory.
Los controladores de dominio emiten notificaciones de actualización a los demás controladores

de dominio para indicar que un administrador ha realizado alguna modificación. A continuación
comienza el proceso de replicación.
Si ningún controlador de dominio recibe la notificación de actualización, se inicia

automáticamente un proceso de sondeo. Se trata de los propios controladores de dominio que
interrogan a su socio de replicación para saber si existe o no una actualización.
La topología de replicación se calcula automáticamente mediante el comprobador de coherencia

de datos (KCC).
Los servidores RODC pueden guardar en caché la contraseña de las cuentas de usuario y
equipos mediante una directiva de replicación de contraseñas.
La carpeta SYSVOL de cada controlador de dominio se actualiza mediante una replicación de

archivos empleando el sistema de replicación FRS o DFS-R.
Las herramientas repadmin.exe y dcdiag.exe permiten controlar y resolver los problemas

vinculados a la replicación en Active Directory.
preguntas.
1. Preguntas
1 ¿Qué componente de la infraestructura Active Directory es responsable de la creación de una
topología de replicación?
2 ¿Qué herramienta de administración permite gestionar las replicaciones Active Directory?
3 ¿Qué acciones debe realizar un administrador para poner en caché en un RODC las
contraseñas de las cuentas de usuario o equipos?
4 Cite al menos dos atributos sobre los que Active Directory puede basarse para resolver
conflictos de replicación.
5 ¿Qué contiene la carpeta compartida %SYSTEMROOT%\SYSVOL\sysvol de un controlador de

dominio Active Directory?
6 ¿Qué herramienta está a disposición de los administradores para migrar el proceso de

replicación FRS a DFS-R?
7 ¿Para qué sirve la herramienta repadmin.exe?
8 ¿Para qué sirve la herramienta dcdiag.exe?
9 Cite dos métodos que permitan forzar la replicación Active Directory entre dos socios de
replicación.
2. Resultados
punto.
3. Respuestas
1 ¿Qué componente de la infraestructura Active Directory es responsable de la creación de una
topología de replicación?
El comprobador de coherencia de la información (KCC: Knowledge Consistency Checker) se encarga

de construir automáticamente una topología de replicación creando los objetos de conexión para
cada socio de replicación.
2 ¿Qué herramienta de administración permite gestionar las replicaciones Active Directory?
El complemento Sitios y servicios de Active Directory permite gestionar las replicaciones Active
Directory.
3 ¿Qué acciones debe realizar un administrador para poner en caché en un RODC las
contraseñas de las cuentas de usuario o equipos?
El administrador de la infraestructura Active Directory debe poner las cuentas de usuario y de

equipo en el grupo de seguridad de dominio local, donde la contraseña RODC está autorizada. Una
vez completado, el administrador puede rellenar las contraseñas de los objetos de este grupo en la
caché del RODC.
4 Cite al menos dos atributos sobre los que Active Directory puede basarse para resolver
conflictos de replicación.
Para resolver conflictos de replicación, Active Directory puede verificar los siguientes atributos:
Atributo de versión (uSNCreated & uSNChanged)
Atributo GUID (Globally Unique Identifier)
Atributo de marca de tiempo (whenChanged)
5 ¿Qué contiene la carpeta compartida %SYSTEMROOT%\SYSVOL\sysvol de un controlador de

dominio Active Directory?
El directorio compartido %SYSTEMROOT%\SYSVOL\sysvol en un controlador de dominio alberga el

conjunto de scripts de inicio de sesión, además de las GPO existentes en el dominio Active
Directory.
6 ¿Qué herramienta está a disposición de los administradores para migrar el proceso de

replicación FRS a DFS-R?
Para migrar el sistema de replicación FRS de la carpeta SYSVOL para utilizar el sistema de
replicación DFS-R los administradores pueden utilizar la herramienta DFSRMIG ubicada en:
C:\Windows\System32\Dfsrmig.exe
7 ¿Para qué sirve la herramienta repadmin.exe?
La herramienta repadmin.exe permite diagnosticar y resolver los problemas vinculados a la

replicación en Active Directory.
8 ¿Para qué sirve la herramienta dcdiag.exe?
La herramienta dcdiag.exe permite diagnosticar y resolver los problemas vinculados al servicio de

directorio de Active Directory.
9 Cite dos métodos que permitan forzar la replicación Active Directory entre dos socios de
replicación.
Para forzar la replicación entre dos socios, podemos:
Seleccionar un objeto de conexión en la interfaz gráfica, hacer clic con el botón y, a

continuación, hacer clic en Replicar ahora.
Ejecutar el comando repadmin /replicate.

Conocimiento básico de la administración de Windows Server 2012 R2.
Conocimiento básico de la seguridad informática.
Conocimiento básico de los certificados digitales.
2. Objetivos
Saber administrar una infraestructura de clave pública.
Saber instalar una entidad de certificación.
Saber administrar certificados.
Saber administrar plantillas de certificados.
Saber administrar los niveles jerárquicos de una entidad de certificación.
Saber revocar certificados.
Saber cómo solicitar un certificado a una entidad de certificación.

Infraestructura de claves públicas
En el mundo de la informática, la seguridad es un punto crucial para cualquier organización que
intercambie datos digitales en una red (interna o externa). Cuando se trata de intercambiar datos
confidenciales o personales, siempre puede existir la duda respecto al interlocutor con el que nos
comunicamos, o el temor a que los datos transmitidos puedan ser interceptados y explotados con
fines malintencionados. Las infraestructuras de claves públicas, llamadas PKI (Public Key
Infrastructure), fueron concebidas para construir una relación de confianza en un entorno a veces mal
securizado.
1. Presentación de PKI
Las infraestructuras de clave pública (PKI) se han creado con el objetivo de probar a los demás que
es realmente quien dice ser durante un intercambio de datos a través de una red informática. La
identidad de cada entidad, componente de red, individuo, sistema u otros puede ser verificada
empleando un certificado emitido por una entidad de certificación aprobada. Los certificados digitales
forman parte integral de una infraestructura de claves públicas y pueden ser totalmente
transparentes para un usuario que emplea un ordenador a diario. Encontramos el uso de los
certificados en todo tipo de elementos, sea para securizar una conexión VPN IPsec (Virtual Private
Network Internet Protocol security), el intercambio de correos electrónicos, efectuar un pago en línea
en un sitio comercial (sitio web HTTPS empleando un certificado SSL) o securizar el acceso a archivos
o carpetas utilizando un sistema de cifrado EFS (Encrypting File System). Las infraestructuras de
clave pública nos ayudan pues a securizar las comunicaciones informáticas y, en particular, a
establecer vínculos de confianza entre las personas físicas y los certificados digitales igual que lo
haría un documento nacional de identidad. Un administrador a cargo de una infraestructura de clave
pública debe distribuir los certificados digitales con extremo cuidado a las personas que formen
parte de su organización y revocar los certificados de aquellos usuarios que ya no formen parte de
la misma.
Por ejemplo, cuando consulta el sitio Internet de su banco para verificar sus cuentas, el acceso se
encuentra probablemente securizado empleando una página web HTTPS que utiliza un certificado
SSL. Si muestra las propiedades del certificado, puede constatar que posee información de la
entidad de certificación que ha proporcionado el certificado a su banco. Su navegador acepta
mostrar la página solicitada porque el certificado ha sido emitido por una entidad de certificación
comercial aprobada como, por ejemplo, VeriSign. Por defecto, su navegador de Internet contiene
una lista de entidades de certificación comerciales aprobadas. Esta lista se actualiza
automáticamente cuando realiza una actualización de su sistema operativo. La lista de
certificaciones comerciales aprobadas está disponible en las opciones de su navegador web
(pestaña Contenido para Internet Explorer y la pestaña Cifrado en opciones, o la
opción avanzadopara Mozilla Firefox):
2. Componentes de una PKI
Una infraestructura de clave pública se compone de varios elementos de los cuales algunos ofrecen
servicios a los usuarios. Encontramos por ejemplo los elementos siguientes:
Las entidades de certificación (CA: Certificate Authority): permiten crear y gestionar los
certificados. Las entidades de certificación pueden estar estructuradas bajo diferentes formas
jerárquicas que podemos definir de dos o tres niveles.
Los certificados digitales: los certificados los distribuye una entidad de certificación
aprobada por la organización (CA interna o comercial). Los certificados sirven para autenticar
un servicio, un servidor, un usuario o un sitio comercial. En el caso de un sitio web, por
ejemplo, el certificado emitido debe poseer, como atributo, el nombre DNS del sitio web
accedido por los usuarios mediante una URL. Si el nombre no se corresponde, el usuario no
podrá acceder a la información securizada. Esto permite asignar un certificado válido para un
único servicio. Lo mismo ocurre con un certificado de usuario que contiene el nombre y
apellidos de la persona interesada. La autenticación por certificado solo funciona si se verifica
la identidad del usuario.
Las plantillas de certificados: las plantillas de certificados permiten a los administradores

generar certificados previamente configurados en función del uso deseado. Estos certificados
pueden personalizarse en función de las necesidades.
Las claves públicas y las claves privadas: se emplean para cifrar y descifrar los datos.
Los equipos cliente: los usuarios pueden utilizar sus puestos cliente para solicitar
certificados a una entidad de certificación declarada en Active Directory o mediante un
formulario de una página web de la entidad de certificación. También pueden acceder a sitios
securizados por certificados. Los equipos cliente tienen una lista de entidades emisoras de
certificados de confianza (accesible desde un navegador web o el complemento Certificados),
lo que les permite validar el acceso a sitios web mediante certificados emitidos por entidades
de certificación comerciales.
Las listas de revocación de certificados (CRL: Certificate Revocation Lists): representan las
listas emitidas por entidades de certificación y los certificados digitales que ya no son válidos
o están revocados. Una entidad de certificación mantiene actualizada esta lista que contiene
el detalle de la asignación de certificados indicando las fechas de validez, así como aquellos
certificados que han sido revocados. Cuando se presenta un certificado para acceder a un
servicio, un inicio de sesión o una solicitud de cifrado, el sistema de autenticación o de
verificación accede automáticamente a una lista de revocación diaria desde una entidad de
certificación aprobada para verificar la validez del certificado. Si éste aparece en la lista, el
acceso es simple y llanamente denegado. Si la CRL introducida en el certificado no se puede
obtener, el acceso es igualmente denegado.
Los respondedores en línea: los clientes pueden emplear un respondedor en línea para
interrogar a una entidad de certificación directamente para conocer el estado de un
certificado recién presentado. Este proceso es más rápido que la descarga y la consulta de
una nueva lista de revocación de certificados.
A partir de las anteriores versiones de Windows Server, Microsoft integra en su sistema operativo
un componente que permite la instalación, configuración y gestión de entidades de certificación. A
partir de Windows Server 2008, este componente aparece como un rol de servidor, mejor conocido
bajo el nombre de Active Directory Certificate Services (AD CS).
3. Cifrado
Cuando un administrador desea securizar datos informáticos, puede implementar todo tipo de
sistemas o tecnologías haciendo imposible el acceso de una persona no autorizada. Pero, ¿qué pasa
si los datos securizados son interceptados en la red o sustraídos con el robo de un servidor o de un
disco duro de la empresa? Todo dato no protegido puede, por definición, accederse de forma
abierta. Esto quiere decir que cualquier persona con malas intenciones puede acceder a sus datos
sin mucho esfuerzo una vez que la seguridad principal ha sido anulada. Para garantizar la integridad
de sus datos, es posible securizar el conjunto de los elementos basándose en certificados para
cifrar y descifrar los datos o información del sistema.
Una infraestructura de clave pública ofrece a su vez servicios criptográficos, que permiten mantener
la integridad de los datos del sistema de información. Una infraestructura PKI se basa en dos
métodos de cifrado de los datos:
Cifrado simétrico (por clave secreta): el uso de un cifrado simétrico necesita el intercambio
de un secreto compartido entre dos componentes o personas que desean comunicarse. El
cifrado se realiza empleando un mecanismo específico y el secreto intercambiado entre los
dos asociados consiste en revelar el funcionamiento del mecanismo de cifrado. Esto permite a
diferentes asociados poder descifrar los datos cifrados empleando un secreto definido en un
algoritmo. Cualquier individuo que posee el secreto podrá, por tanto, descifrar los datos.
Cifrado asimétrico (por clave pública): el uso de un cifrado asimétrico permite cifrar los
datos empleando un sistema de pares de claves. Se utiliza una clave pública para cifrar los
datos, mientras que se utiliza una clave privada para descifrarlos. La clave pública puede ser
conocida por todos y puede ser intercambiada en redes no seguras. La clave privada debe
sin embargo ser segura y conocida solamente por la persona que va a acceder a los datos
cifrados.
Presentación de AD CS
Los servicios de certificados de Active Directory en Windows Server 2012 R2 se presentan bajo la
forma de un rol de servidor. Este rol permite, en particular, implementar una infraestructura jerárquica
de claves públicas para crear y gestionar los certificados. Mediante AD CS es posible responder a
diferentes necesidades empresariales como la securización de las comunicaciones VPN, WAN, LAN e
inalámbricas, securizar los sitios web IIS o securizar mensajes electrónicos emitidos por un servidor
de mensajería Microsoft Exchange.
1. Servicios de certificados AD CS
Es posible instalar AD CS como una entidad de certificación independiente o empresarial. AD CS
puede proporcionar los servicios de certificados al interior o al exterior de la red empresarial. AD CS
integra funcionalidades adicionales con el sistema operativo Windows Server 2012. Encontramos, en
particular, las novedades siguientes:
Los servicios de rol AD CS pueden instalarse en cualquier edición de Windows Server 2012
R2.
Los servicios de rol AD CS pueden instalarse en una instalación mínima (Core Server).
AD CS está ahora integrado con el administrador del servidor.
Aporta funcionalidades PowerShell adicionales.
Los equipos miembro de un grupo de trabajo pueden, ahora, realizar una petición de
renovación de un certificado.
Compatibilidad con los nombre de dominio internacionales.
Los servicios AD CS y los clientes PKI reconocen, ahora, los sitios AD DS.
Una seguridad mejorada a nivel del servicio de rol Entidad de certificación.
En la versión del sistema operativo Microsoft Windows Server 2008 R2 el tipo de entidad de
certificación empresarial solo puede instalarse en la edición Enterprise o Datacenter.
a. CA independiente
Una entidad de certificación independiente tiene la ventaja de poderse instalar en un servidor

miembro de un dominio o de un grupo de trabajo. El requisito previo AD DS no es necesario cuando
deseamos desplegar una CA independiente. Este tipo de instalación de entidad de certificación se
utiliza, por lo general, en infraestructuras de claves públicas de varias capas. La entidad de
certificación raíz instalada en una jerarquía de CA debe ser de tipo independiente. Su función es la
de generar un certificado destinado a las CA intermedias. Después de la instalación de una CA raíz
independiente, se aconseja ponerla fuera de línea o desconectada de la red para incrementar la
seguridad de la infraestructura de clave pública. En una infraestructura de CA de tres capas, la
entidad de certificación intermediaria debe, también, ser de tipo independiente.
La instalación de una entidad de certificación raíz requiere la configuración de los siguientes

elementos:
Puntos de distribución de lista de revocación de certificados (CDP: CRL Distribution

Points): los CDP permiten indicar la ubicación de una CRL, empleada al solicitar la validación
de un certificado.
Acceso a la información de entidad emisora (AIA: Authority Information Access): las AIA
permiten indicar a los usuarios la ubicación donde encontrar el certificado de la entidad de
certificación raíz.
b. CA empresarial
Una entidad de certificación empresarial se encuentra integrada en los servicios de dominio Active
Directory. En una infraestructura de claves públicas, las CA empresariales se utilizan, por lo
general, como entidad de certificación emisora. La instalación de este tipo de CA se realiza en un
servidor miembro de un dominio. De esta forma, los usuarios del dominio pueden enviar las
solicitudes de certificados que pueden aprobarse directamente en la entidad de certificación
empresarial encargada de emitir los certificados. La instalación de este tipo de CA es dependiente
del sistema operativo que la alberga.
c. Administración de AD CS
La instalación del rol de servidor AD CS agrega a las herramientas administrativas del sistema
operativo la consola de administración Entidad de certificación:
Esta consola de administración es un complemento situado

en:%SYSTEMROOT%\system32\certsrv.msc
La instalación de AD CS instala, también, el servicio Windows Servicios de certificados de Active

Directory, configurado con un tipo de arranque Automático:
Si acaba de instalar una entidad de certificación intermedia, el servicio Windows Servicios de

certificados de Active Directory estará en un estado detenido porque no se habrá importado
ningún certificado emitido por una entidad certificadora maestra.
La consola de administración certsrv permite visualizar el estado del servidor mediante un icono
en la autoridad de certificación (Servicio Windows detenido o arrancado). También podemos detener
o arrancar una entidad de certificación desde el complemento:
El árbol de la consola de administración AD CS permite acceder a los siguientes contenedores:

Certificados revocados: permite visualizar el conjunto de certificados revocados o
expirados de su organización.
Certificados emitidos: permite visualizar el conjunto de certificados aprobados o emitidos

por su organización.
Solicitudes pendientes: permite visualizar el conjunto de certificados solicitados por los

componentes de red u otros usuarios. Los certificados que aparecen en este contenedor
deben aprobarse manualmente antes de poder utilizarlos.
Error en las solicitudes: permite visualizar el conjunto de solicitudes de certificados que

han fallado. También es posible emitir certificados desde este contenedor.
Cuando se instala un certificado, es posible administrarlo o visualizarlo desde la consola de

administración de certificados:
%SYSTEMROOT%\system32\certlm.msc: permite gestionar los certificados vinculados al

equipo.
%SYSTEMROOT%\system32\certmgrmsc: permite gestionar los certificados vinculados

al usuario.
2. Jerarquía de CA
Una infraestructura de claves públicas puede funcionar empleando un único servidor independiente
que tenga el rol de servidor AD CS. Sin embargo, cuando su infraestructura está compuesta por
varias entidades de certificación, hablamos de una jerarquía de CA. El uso de un único servidor para
la explotación de los servicios de certificados puede debilitar la seguridad de la infraestructura de
claves públicas. Para reforzar la seguridad, podemos agregar entidades de certificación adicionales a
una PKI. Existen diferentes tipos de jerarquía de CA cuya topología corresponderá a los requisitos
de seguridad o necesidades empresariales. En una jerarquía CA de varias capas, un servidor CA raíz
se encarga de asignar los certificados a las CA subordinadas, para que ellas mismas puedan asignar
los certificados a los usuarios, equipos o servicios. En una jerarquía de CA, el nivel más alto se
denomina entidad de certificación raíz. Todo ataque contra el servidor que contiene la CA raíz, o
cualquier CA, puede comprometer la seguridad del conjunto de las CA intermedias o subyacentes.
Por ello es importante securizar las entidades de certificación de mayor nivel colocándolas fuera de
línea o inaccesibles a cualquier intento de intrusión. En la mayoría de las situaciones, las PKI se
implementan en infraestructuras de dos o tres capas.
a. Infraestructura de dos capas
Una infraestructura de entidad de certificación de dos capas aporta un mínimo de seguridad pues
permite situar fuera de línea a la CA raíz para mantener únicamente a la CA emisora para la
asignación y aprobación de certificados. Generalmente, se implementa una CA raíz independiente
en el nivel más alto y se ubica una CA empresarial emisora en el nivel más bajo para proporcionar
los servicios de certificados a los equipos y usuarios de la red.
Según el modelo de infraestructura de dos capas, se instalan los siguientes tipos de entidades de
certificación:
CA raíz: CA independiente (fuera de línea)

CA emisora: CA empresarial (en línea)
b. Infraestructura de tres capas
Una infraestructura de entidad de certificación de tres capas aporta un nivel mayor de seguridad y
disponibilidad porque las CA de mayor nivel pueden dejarse fuera de línea y las CA emisoras
pueden implementarse de manera redundante para aportar una mejor disponibilidad o cubrir una
mayor zona geográfica. Generalmente, se configura una CA raíz independiente en el nivel más alto
y, a continuación, se ubican en segundo nivel las CA raíz independientes intermedias. Por último,
las CA empresariales emisoras se sitúan en el nivel más bajo para proporcionar los servicios de
certificados a los equipos o usuarios de la red.
CA raíz: CA independiente (fuera de línea)
CA intermedia: CA independiente (fuera de línea)
CA emisora: CA empresarial (en línea)

c. CA raíz
La CA raíz tiene el nivel más alto de una jerarquía de CA. Durante la creación de una nueva
entidad de certificación raíz, hay que crear obligatoriamente una nueva clave privada.
La creación de una clave privada requiere proveer la siguiente información:
La selección de un proveedor de servicios criptográficos: para generar un par de claves

para la entidad de certificación raíz, la API Microsoft Crypto debe utilizar un proveedor de
cifrado software o hardware.
La longitud de la clave: el número de caracteres de la clave determina la longitud de las

claves del par. Cuanto mayor sea la longitud de la clave, más largo será el proceso de
decodificación.
La selección de un algoritmo hash: los algoritmos hash permiten securizar las claves
utilizando un algoritmo de cálculo específico, destinado a generar información cifrada del par
de claves.
Existen de manera predeterminada:
14 proveedores de cifrado:
Microsoft Base Smart Card Crypto Provider
Microsoft Enhanced Cryptographic Provider v1.0
ECDSA_P256#Microsoft Smart Card Key Storage Provider
RSA#Microsoft Sotftware Key Store Provider
Microsoft Base Cryptographic Provider v1.0
ECDSA_P521#Microsoft Software Key Store Provider
ECDSA_P256#Microsoft Software Key Store Provider
Microsoft Strong Cryptographic Provider
ECDSA_P384#Microsoft Software Key Storage Provider
Microsoft Base DSS Cryptographic Provider
RSA#Microsoft Smart Card Key Storage Provider
DSA#Microsoft Software Key Storage Provider
4 longitudes de clave:
512
1024
2048
4096
7 algoritmos hash:
SHA256
SHA384
SHA512
SHA1
MD5
MD4
MD2
d. CA intermedia
Es necesario instalar, como mínimo, una entidad de certificación intermedia en una jerarquía de
certificados de tres capas. Su objetivo es aportar un nivel de seguridad adicional para proteger a
la entidad de certificación raíz. La CA intermedia recibe un certificado de la CA raíz para funcionar y
emitir un certificado a la CA emisora para que ella funcione a su vez.
e. CA emisora
Una CA emisora debe ser una CA empresarial, instalada con el objetivo de emitir los certificados a
los usuarios, servidores y demás componentes que realicen una solicitud. El uso de una CA
empresarial permite la inscripción automática de los usuarios o los equipos.
3. Servicios de roles AD CS
El rol del servidor AD CS cuenta con seis servicios de rol bajo Windows Server 2012 R2, frente a
cuatro en Windows Server 2008 R2.
a. Entidad de certificación
El servicio de rol Entidad de certificación tiene como objetivo realizar las misiones siguientes:
Aceptar las peticiones de certificados.
Expedir certificados.
Revocar certificados.
Publicar la lista de revocación de certificados.
La instalación de este rol de servicio AD CS requiere privilegios de administración local cuando el

servidor es miembro de un grupo de trabajo, o privilegios de administración de dominio si el
servidor es miembro de un dominio Active Directory. Para instalar este servicio de rol como una
entidad de certificación empresarial, el servidor debe ser miembro de un dominio Active Directory.
Se puede instalar este componente utilizando el comando PowerShell siguiente: Install-

AdcsCertificationAuthority
Para desinstalar este componente, basta con ejecutar el comando PowerShell

siguiente:Uninstall-AdcsCertificationAuthority
En Windows Server 2012 R2, es posible en adelante utilizar los comandos de línea PowerShell
para realizar una copia de seguridad o restaurar el servicio de rol entidad de certificación (CA):
Para realizar una copia de seguridad del servicio entidad de certificación, basta con ejecutar el
comando PowerShell siguiente: Backup-CARoleService
Para restaurar el servicio entidad de certificación, basta con ejecutar el comando PowerShell
siguiente: Restore-CARoleService
b. Solicitud de certificados a través de la Web
El servicio de rol Inscripción web de entidad de certificación permite emitir y renovar los
certificados a los usuarios y equipos que no son miembros de un dominio, no están conectados a
la red o que no ejecutan un sistema operativo de Microsoft.

AdcsWebEnrollment

siguiente:Uninstall-AdcsWebEnrollment
c. Respondedor en línea
El servicio de rol Respondedor en línea utiliza el protocolo OCSP (Online Certificate Status Protocol).
Su objetivo es proporcionar información sobre el estado de revocación de certificados emitidos así
como una lista de revocación de certificados. El uso de este servicio en línea es más rápido que la
consulta a una CRL (Certificate Revocation List, lista de revocación de certificados). Para instalar
este servicio de rol como una entidad de certificación empresarial, el servidor debe ser miembro de
un dominio Active Directory.

AdcsOnlineResponder

siguiente:Uninstall-AdcsOnlineResponder
d. Inscripción de dispositivos de red
El servicio de rol Servicio de inscripción de dispositivos de red (NDES) permite a los dispositivos
de red que no ejecutan el sistema operativo Windows inscribirse en los servicios de certificado AD
CS. Este servicio de rol emplea el protocolo SCEP (Simple Certificate Enrollment Protocol) para
comunicarse con los diferentes componentes de la red.

AdcsNetworkDeviceEnrollmentService

siguiente:Uninstall-AdcsNetworkDeviceEnrollmentService
e. Inscripción de certificados
El servicio de rol Servicios web de inscripción de certificados permite a los usuarios o equipos
solicitar un certificado utilizando el protocolo HTTPS. La instalación solo puede realizarse en un
servidor miembro de un dominio AD DS que ejecute el rol AD CS configurado como entidad de
certificación empresarial.

AdcsEnrollmentWebService

siguiente:Uninstall-AdcsEnrollmentWebService
f. Directiva de certificados
El servicio de rol Servicio web de directiva de inscripción de certificados funciona conjuntamente

con el servicio de rol Servicios web de inscripción de certificados. Este servicio de rol AD CS permite
a los usuarios y equipos que no son miembros de un dominio, o que no se encuentran conectados
al dominio, realizar una solicitud de inscripción de certificado. La instalación solo puede realizarse
en un servidor miembro de un dominio AD DS que ejecute el rol AD CS configurado como entidad de
certificación empresarial.

AdcsEnrollmentPolicyWebService

siguiente:Uninstall-AdcsEnrollmentPolicyWebService
4. Certificados
Un certificado digital puede ser emitido por una entidad de certificación interna o pública. Sin
embargo, también es posible generar un certificado autofirmado si no se encuentra disponible
ninguna entidad de certificación. Por defecto, todo sistema Microsoft integra las herramientas que
permiten gestionar los certificados autofirmados. Un certificado autofirmado significa que el sistema
se atribuye un certificado que reconoce como válido por si mismo. Un certificado autofirmado solo lo
reconoce como válido el sistema que lo ha generado.
Por ejemplo, tomemos el caso de un administrador que implementa un sitio web IIS al cual debe
accederse mediante el protocolo HTTPS utilizando un certificado autofirmado. Los usuarios que
accedan al sitio web reciben sistemáticamente un mensaje de aviso de su navegador, indicando que
el certificado presentado por el sitio no se ha verificado y que el acceso es potencialmente peligroso.
Para que los usuarios no reciban este mensaje debe instalar el certificado autofirmado por IIS en su
almacén local Entidad de certificación raíz de confianza.
La creación de certificados en entornos Microsoft está fundamentalmente basada en el estándar

X.509. Un certificado contiene la siguiente información:
Información de identificación (Nombre, razón social, ubicación, etc.).
Una clave pública.
El algoritmo hash/Huella digital.
La identidad del emisor.
La fecha de validez.
Un número de serie.
La versión del certificado.
La URL de acceso a la información de la entidad de certificación.
Las URL de los puntos de distribución de listas de certificados revocados.
a. Plantillas de certificado
Las plantillas de certificado sirven para generar los certificados a partir de plantillas predefinidas
que pueden personalizarse previamente. Estas plantillas solo están disponibles en un servidor que
albergue el rol AD CS como entidad de certificación empresarial emisora.
Por defecto existen once plantillas de certificado:
Replicación de directorio de correo electrónico.
Autenticación de controlador de dominio.
Autenticación Kerberos.
Agente de recuperación de EFS.
EFS básico.
Controlador de dominio.
Servidor web.
Equipo.
Usuario.
Entidad de certificación subordinada.
Administrador.
También es posible crear o duplicar plantillas de certificado para completar la lista existente.
Para que un usuario tenga permisos para seleccionar una plantilla de certificado, se le deben
asignar permisos de inscripción en el certificado específico.
Para gestionar las plantillas de certificado, basta con hacer clic con el botón derecho en el
contenedor Plantillas de certificado de la consola Entidad de certificación y, a continuación,
hacer clic en Administrar.
Cuando se valida una solicitud y se emite un certificado, es posible extraer el certificado de la

entidad de certificación emisora para poder explotarlo. Para ello, basta con utilizar el Asistente
para exportar certificados y seleccionar uno de los formatos que deseamos utilizar para el
certificado.
Existen diferentes tipos de archivos de certificado:
DER binario codificado X.509 (.CER): los archivos X.509 utilizan una norma criptográfica
definida por la Unión internacional de telecomunicaciones. El formato de archivo DER
(Distinguished Encoding Rules) lo utilizan con frecuencia equipos informáticos que ejecutan
un sistema operativo diferente de Windows.
X.509 codificado base 64 (.CER): este tipo de formato se utiliza con frecuencia en las
infraestructuras de mensajería que soportan la norma de criptografía S/MIME
(Secure/Multipurpose Internet Mail Extension).
Estándar de sintaxis de cifrado de mensajes: certificados PKCS #7 (.P7B): este formato

de archivo se utiliza con frecuencia para la transferencia de un certificado de un equipo a
otro.
Intercambio de información personal: PKCS #12 (.PFX): este formato de archivo se

utiliza para transferir un certificado de un equipo a otro pero incluyendo la clave privada y la
clave pública, lo cual puede resultar peligroso para la integridad de los datos a proteger.
Almacén de certificados en serie de Microsoft (.SST): este formato de archivo se utiliza

con frecuencia para la transferencia de un certificado raíz a otro equipo.
b. Solicitud de certificado
Existen varios métodos que permiten solicitar un certificado a una entidad de certificación. Se
puede efectuar una solicitud de certificado desde:
La interfaz web de la entidad de certificación, accediendo al directorio virtual Certsrv.
El complemento Certificados.
Durante una solicitud de certificado, si el usuario se encuentra habilitado puede, también,

seleccionar una plantilla de certificado preconfigurada para un uso definido (por ejemplo:
Certificado de usuario, equipo, EFS básico, etc.).
Si no está habilitada la inscripción automática, el usuario deberá presentar sistemáticamente una

solicitud de certificado que validará manualmente el administrador de la entidad de certificación. Si
la inscripción automática está habilitada, se aceptará la solicitud de certificado y éste se emitirá
automáticamente.
Trabajos prácticos
La empresa INFONOVICE desea securizar el acceso a su sitio Intranet implementando un acceso web
SSL/TLS (Secure Socket Layer/Transport Layer Security) empleando la URL siguiente:
https://intranet.infonovice.priv
Adicionalmente, desea securizar el acceso al dominio de ciertas cuentas de usuario empleando un

sistema de tarjeta inteligente. En ambos casos debe utilizarse un certificado digital para securizar el
acceso.
Para responder a estas necesidades, se le pide implementar una solución de infraestructura de clave
pública. Ésta tendrá como objetivo proteger los diferentes servicios y accesos mediante un certificado
emitido por una entidad de certificación. Debe instalarse empleando el rol de servidor AD CS y debe
diseñarse como una jerarquía de dos capas.
DC-01: controlador de dominio infonovice.priv, servidor DNS
CS-01: entidad de certificación raíz (CA independiente), Workgroup
Particiones: C:\, D:\
CS-02: entidad de certificación emisora (CA empresarial), Infonovice.priv
Particiones: C:\ D:\, E:\
1. Instalar una CA independiente

Este taller permite instalar el rol de servidor AD CS como entidad de certificación independiente en el
servidor CS-01, que no está ubicado en el dominio Infonovice.priv, sino en un grupo de trabajo
llamado Workgroup. Esta CA debe ser la raíz de la jerarquía para construir un modelo de dos capas
de nuestra infraestructura de clave pública.
Paso 1: inicie una sesión en el servidor CS-01 con credenciales de administración y a

continuación, en el Administrador del servidor, haga clic en Agregar roles y características.
Paso 2: haga clic en Siguiente para pasar las páginas Antes de comenzar, Seleccionar tipo de
instalación y Seleccionar servidor de destino.
Paso 3: en el paso Seleccionar roles de servidor, marque la opción correspondiente al
rolServicios de certificados de Active Directory y, a continuación, haga clic en el botón Agregar
características. A continuación, haga clic en Siguiente:
Paso 4: en el paso Seleccionar características, haga clic en Siguiente.
Paso 5: en el paso Servicios de certificados de Active Directory, haga clic en Siguiente.
Paso 6: en el paso Seleccionar servicios de rol, marque la opción Entidad de certificación y, a

continuación, haga clic en Siguiente.
Paso 7: en el paso Confirmar selecciones de instalación, haga clic en Instalar.
Paso 8: en el paso Progreso de la instalación, haga clic en Configurar Servicios de certificados

de Active Directory en el servidor de destino.
Paso 9: en el paso Credenciales, verifique que se ha seleccionado una cuenta de administrador

local del servidor. Haga clic en Siguiente.
Paso 10: en el paso Servicios de rol, marque la opción Entidad de certificación y, a

continuación, haga clic en Siguiente:
Paso 11: en el paso Tipo de instalación, la opción CA independiente esta marcada. Haga clic
enSiguiente:
Paso 12: en el paso Especifique el tipo de CA, marque la opción CA raíz y, a continuación, haga
clic en Siguiente:
Paso 13: en el paso Clave privada, marque la opción Crear una clave privada nueva y, a
Paso 14: en el paso Criptografía para la CA, seleccione el proveedor de servicios

criptográficosRSA#Microsoft Software Key Storage Provider y, a continuación, indique una
longitud de clave de 4096. Seleccione el algoritmo de hash SHA1 y haga clic en Siguiente:
Paso 15: en el paso Nombre de CA, escriba Infonovice-Root-CA en el campo Nombre común para
esta entidad de certificación y, a continuación, haga clic en Siguiente:
Paso 16: en el paso Período de validez, indique 10 Años para especificar la fecha de expiración
del certificado y, a continuación, haga clic en Siguiente.
Paso 17: en el paso Base de datos de CA, especifique la ubicación de la base de datos de
certificados en la carpeta D:\CA\CertDB y, a continuación, especifique la ubicación del registro de
la base de datos en la ubicación siguiente: D:\CA\CertLog. Haga clic en Siguiente.
Paso 18: en el paso Confirmación, verifique los parámetros de su entidad de certificación raíz y,
a continuación, haga clic en Configurar.
Paso 19: en el paso Resultados, verifique que su entidad de certificación muestra

suConfiguración realizada correctamente. A continuación, haga clic dos veces en Cerrar.
Paso 20: arranque la consola Entidad de certificación en las herramientas de administración. En

el árbol de la consola, haga clic con el botón derecho en la entidad de certificación Infonovice-
Root-CA y, a continuación, haga clic en Propiedades.
Paso 21: haga clic en la pestaña Extensiones y, a continuación, agregue un nuevo punto de
distribución de lista de revocación de certificados haciendo clic en Agregar.
Paso 22: en el campo Ubicación, escriba la URL siguiente y haga clic en Aceptar:
http://CS-02.infonovice.priv/CertData/<nombre de CA><sufijo de nombre de lista CRL><diferencias

entre listas CRL permitidas>.crl
Paso 23: marque las siguientes opciones y haga clic en Aplicar:
Incluir en las CRL. Usada para encontrar la ubicación de diferencias CRL.
Incluir en la extensión CDP de los certificados emitidos

Paso 24: haga clic en No para no volver a iniciar el servicio de certificados de Active Directory
ahora.
Paso 25: haga clic en la lista desplegable para seleccionar la extensión Acceso a la información
de entidad (AIA) y, a continuación, haga clic en Agregar.
Paso 26: en el campo Ubicación, escriba la URL siguiente y haga clic en Aceptar:
http://CS-02.infonovice.priv/CertData/<nombre DNS del servidor><nombre de CA><nombre de

certificado>.crt
Paso 27: marque la opción Incluir en la extensión AIA de los certificados emitidos y haga clic
en Aceptar.
Paso 28: haga clic en Sí para volver a iniciar el servicio de certificados de Active Directory ahora.
Paso 29: de vuelta en la consola de gestión certsrv, despliegue el árbol para seleccionar la
carpeta Certificados revocados. Haga clic con el botón derecho sobre ella, seleccione Todas las
tareas y, a continuación, haga clic en Publicar:
Paso 30: en la ventana Publicar lista de revocación de certificados, haga clic en Aceptar para
crear una nueva lista.
Paso 31: en la consola certsrv, haga clic con el botón derecho en la entidad de
certificaciónInfonovice-Root-CA y, a continuación, haga clic en Propiedades.
Paso 32: en la pestaña General, haga clic en Ver certificado.
Paso 33: en la ventana Certificado, haga clic en la pestaña Detalles y, a continuación, haga clic
en Copiar en archivo.
Paso 34: en el Asistente para exportar certificados, haga clic en Siguiente en la pantalla de
bienvenida.
Paso 35: deje las opciones por defecto y haga clic en Siguiente para exportar el certificado en
formato DER binario codificado X.509.
Paso 36: cree la carpeta C:\Compartir en el servidor CS-02 y compártala con permisos de lectura
y escritura para el grupo Todos. Haga clic en Examinar en el paso que permite exportar el
archivo e indique la siguiente ubicación \\CS-02\Compartir\Certificado-Root.cer y, a
continuación, haga clic en Guardar, Siguiente y Finalizar.
Paso 37: una vez exportado el certificado, haga clic en Aceptar para cerrar el conjunto de
ventanas.
Paso 38: navegue hasta la carpeta C:\Compartir en el servidor CS-02 para copiar aquí los dos
archivos presentes en la carpeta siguiente y, a continuación, comparta la carpeta CertEnroll:
C:\Windows\System32\Certsrv\CertEnroll
Paso 39: vaya al panel de control del servidor CS-02, haga clic en Ver el estado y las tareas de
red, y, a continuación, haga clic en Cambiar configuración de uso compartido avanzado.
Paso 40: en la sección Invitado o público, seleccione Activar el uso compartido de archivos e
impresoras y haga clic en Guardar cambios:
Paso 41: abra una sesión en el servidor DC-01 con privilegios de administración para el dominio
Infonovice.priv. Abra la consola de gestión DNS y cree el Host A siguiente en la zona de búsqueda
directa de Infonovice.priv:
Nombre: CS-01

En este punto, su entidad de certificación raíz está instalada y configurada.
2. Instalar una CA empresarial

Este taller permite instalar el rol de servidor AD CS como entidad de certificación empresarial en el
servidor CS-02. A nivel de la jerarquía de CA, AD CS debe configurarse como entidad de certificación
empresarial emisora para nuestra infraestructura de claves públicas.
Paso 1: inicie una sesión en el servidor CS-02 con una cuenta de administrador del dominio
Infonovice.priv y, a continuación, en el Administrador del servidor, haga clic en Agregar roles y
características.

rolServicios de certificados de Active Directory y, a continuación, haga clic en el botón Agregar
características. Haga clic en Siguiente.
Paso 5: en el paso Servicios de certificados de Active Directory, haga clic en Siguiente.
Paso 6: en el paso Seleccionar servicios de rol, marque las opciones Entidad de

certificación eInscripción web de entidad de certificación y haga clic en Agregar
características. Al añadir el servicio de rol Inscripción web de entidad de certificación, el
asistente incluye la instalación del rol Servidor web (IIS). A continuación, haga clic
en Siguiente:
Paso 7: en el paso Rol de servidor Web (IIS) , haga clic en Siguiente.
Paso 8: en el paso Seleccionar servicios de rol, haga clic en Siguiente.
Paso 10: en el paso Progreso de la instalación, haga clic en Configurar Servicios de

certificados de Active Directory en el servidor de destino.
Paso 11: en el paso Credenciales, compruebe que se ha informado una cuenta de administrador
del dominio Infonovice.priv y, a continuación, haga clic en Siguiente.
Paso 12: en el paso Servicios de rol, marque las opciones asociadas a los roles Entidad de
certificación e Inscripción web de entidad de certificación. A continuación, haga clic
enSiguiente:
Paso 13: en el paso Tipo de instalación, marque la opción CA empresarial y haga clic
enSiguiente.
Paso 14: en el paso Tipo de CA, marque la opción CA subordinada y haga clic en Siguiente.
Paso 15: en el paso Clave privada, marque la opción Crear una clave privada nueva y, a
Paso 16: en el paso Criptografía para la CA, deje las opciones por defecto y haga clic
enSiguiente.
Paso 17: en el paso Nombre de CA, escriba Infonovice-Emisor-CA en el campo Nombre común
para esta entidad de certificación y, a continuación, haga clic en Siguiente:
Paso 18: en el paso Solicitud de certificado, marque la opción Guardar una solicitud de
certificado en un archivo del equipo de destino, identifique la ubicación de grabación del archivo
de solicitud de certificado y, a continuación, haga clic en Siguiente:
Paso 19: en el paso Base de datos de CA, especifique la ubicación de la base de datos de
certificados en la carpeta D:\CA\CertDB, informe a continuación la ubicación del registro de la base
de datos en la siguiente carpeta: E:\CA\CertLog. A continuación, haga clic en Siguiente:
Paso 20: en el paso Confirmación, verifique los parámetros de su entidad de certificación

subordinada y, a continuación, haga clic en Configurar.
Paso 21: en el paso Resultados, la instalación de la entidad de certificación empresarial muestra

un mensaje de advertencia, indicando que no se debe olvidar solicitar un certificado de la entidad
de certificación maestra para autorizar a esta entidad de certificación empresarial a emitir
certificados. Verifique que el estado de la instalación del servicio de rol Inscripción web de
entidad de certificación indica un estado de configuración realizada correctamente. Por último,
haga clic dos veces en Cerrar.
Llegados a este punto, la entidad de certificación empresarial emisora se encuentra instalada y
configurada, pero no funciona. Falta, a continuación, utilizar el archivo de petición generado
durante el proceso de instalación para obtener un certificado de la entidad de certificación maestra.
3. Activar una CA emisora

Este taller permite activar una CA emisora albergando el rol de servidor AD CS como entidad de
certificación empresarial en el servidor CS-02.
Infonovice.priv. Navegue hasta la carpeta \\CS-02\Compartir, haga clic con el botón derecho en el
archivo Certificado-Root.cer y haga clic en Instalar certificado y en Abrir.
Paso 2: en el Asistente para importar certificados, marque la opción Equipo local en la ventana
de bienvenida y, a continuación, haga clic en Siguiente.
Paso 3: en el paso Almacén de certificados, marque la opción Colocar todos los certificados en
el siguiente almacén y, a continuación, haga clic en Examinar.
Paso 4: seleccione el almacén Entidades de certificación raíz de confianza y, a continuación,

haga clic en Aceptar.
Paso 5: haga clic en Siguiente y en Finalizar. Una vez realizada con éxito la importación del
certificado, haga clic en Aceptar.
Paso 6: navegue hasta la carpeta \\CS-02\Compartir y copie los archivos CS-01_Infonovice-

Root-CA.crt y Infonovice-Root-CA.crl en la carpeta CertData, que crearemos en la ubicación
siguiente: C:\inetpub\wwwroot\
Paso 7: copie el archivo C:\CS-02.infonovice.priv_Infonovice-CS-02-CA.req en la carpeta

\\CS-02\Compartir.
Paso 8: inicie una sesión en el servidor CS-01 con credenciales de administración y abra, a
continuación, la consola de administración Entidad de certificación. Haga clic con el botón
derecho en la entidad de certificación Infonovice-Root-CA y seleccione Todas las tareas y, a
continuación, haga clic en Enviar solicitud nueva:
Paso 9: seleccione el archivo C:\Compartir\CS-02.infonovice.priv_Infonovice-CS-02-CA.req y

haga clic en Abrir.
Paso 10: despliegue el árbol de la consola y seleccione la carpeta Solicitudes pendientes. Haga
clic con el botón derecho en la solicitud disponible, seleccione Todas las tareas y, a continuación,
haga clic en Emitir:
Paso 11: despliegue el árbol de la consola certsrv, seleccione la carpeta Certificados emitidos.
Haga clic con el botón derecho en el certificado disponible y haga clic en Abrir.
Paso 12: en la ventana Certificado, haga clic en la pestaña Detalles y, a continuación, haga clic
en Copiar en archivo.
Paso 13: en la ventana Asistente para exportar certificados, haga clic en Siguiente en la
pantalla de bienvenida.
Paso 14: en el paso Formato de archivo de exportación, marque la opción Estándar de sintaxis
de cifrado de mensajes: certificados PKCS #7 (.P7B). Marque la opción Incluir todos los
certificados en la ruta de certificación (si es posible) y haga clic en Siguiente:
Paso 15: en el paso Archivo que se va a exportar, haga clic en Examinar. Navegue hasta la
carpeta compartida \\CS-02\Compartir y escriba CA-intermedio.p7b en el Nombre de archivo.
Haga clic en Guardar.
Siguiendo las mejores prácticas, la entidad de certificación raíz debe desconectarse de la red
después de su instalación. En condiciones reales, la operación de transferencia de un certificado
a otro equipo debe realizarse empleando un soporte extraíble.
Paso 16: haga clic en Siguiente y, a continuación, en Finalizar. Cuando la exportación del
certificado se haya realizado con éxito, haga clic en Aceptar dos veces.
Infonovice.priv y abra la consola de administración Entidad de certificación. Haga clic con el
botón derecho en la entidad de certificación Infonovice-Emisor-CA, seleccione Todas las tareas y,
a continuación, haga clic en Instalar el certificado de CA:
Paso 18: navegue hasta la carpeta compartida \\CS-02\Compartir para seleccionar el archivo CA-
Intermedio.p7b. Haga clic en Abrir.
Paso 19: en la consola de administración certSrv en el servidor CS-02, haga clic con el botón
derecho en la entidad de certificación y, a continuación, haga clic en Todas las tareas e Iniciar
servicio.
El inicio del servicio de certificados puede realizarse, también, haciendo clic en el triángulo verde
de la barra de tareas.
4. Publicar un certificado empleando las GPO

Este taller permite publicar el certificado de la entidad de certificación raíz de la infraestructura PKI
para que el conjunto de los equipos miembros del dominio puedan aprobar el certificado emitido.
Paso 1: inicie una sesión en el servidor DC-01 con una cuenta de administrador del dominio
Infonovice.priv y, a continuación, en el Administrador del servidor, haga clic en Herramientas y
Paso 2: despliegue el árbol de la consola y, a continuación, edite la GPO Default Domain

Policyen el dominio Infonovice.priv.

equipo - Directivas - Configuración de Windows - Configuración de seguridad - Directivas de
clave pública - Entidades de certificación raíz de confianza.
Paso 4: haga clic con el botón derecho en Entidades de certificación raíz de confianza y, a
continuación, haga clic en Importar.
Paso 5: en la ventana Asistente para importar certificados, haga clic en Siguiente en la

Paso 6: en el paso Archivo para importar, haga clic en Examinar.
Paso 7: seleccione el archivo \\CS-02\Compartir\Certificado-Root.cer, haga clic en Abrir y, a

continuación, en Siguiente.
Paso 8: en el paso Almacén de certificados, verifique que el almacén seleccionado es Entidades

de certificación raíz de confianza y haga clic en Siguiente.
Paso 9: haga clic en Siguiente y, por último, en Finalizar.
Paso 10: cierre el editor y la consola de administración de directivas de grupo.
5. Configurar la interfaz Web

Este taller permite configurar la interfaz web de los servicios de certificados para utilizar el protocolo
HTTPS.
Paso 1: inicie una sesión en el servidor CS-02.infonovice.priv con una cuenta de administrador
del dominio Infonovice.priv. En el Administrador del servidor, haga clic en Herramientas y, a
continuación, en Administrador de Internet Information Services (IIS).
Paso 2: en la parte izquierda del árbol de la consola seleccione el nombre del servidor que
contiene la entidad de certificación empresarial emisora. En la parte central, haga doble clic
enCertificados de servidor.
Paso 3: en la parte derecha, haga clic en Crear una solicitud de certificado:

Paso 4: en la ventana Solicitar certificado escriba la siguiente información y, a continuación,
Nombre común: certificados.infonovice.priv
Organización: INFONOVICE
Unidad organizativa: CERTIFICADOS
Ciudad o localidad: Madrid
Estado o provincia: España
País o región: ES
El campo Nombre común corresponde a la URL definitiva, es decir
http://certificados.infonovice.priv.
Paso 5: en el paso Propiedades de proveedor de servicios criptográficos, seleccione una

longitud en bits de 2048 y, a continuación, haga clic en Siguiente.
Paso 6: cree la carpeta C:\Certificados. En el paso Nombre de archivo,

escribaC:\Certificados\Solicitud.txt, y haga clic en Finalizar:
Paso 7: abra el navegador Internet Explorer escribiendo la URL siguiente: http://CS-02/certsrv, y
haga clic en Solicitar un certificado:
Paso 8: haga clic en solicitud avanzada de certificado:

Paso 9: haga clic en Enviar una solicitud de certificado con un archivo:
Paso 10: copie el contenido del archivo C:\Certificados\Solicitud.txt en la sección Guardar

solicitud. Seleccione la plantilla de certificado Servidor Web y, a continuación, haga clic enEnviar.
Paso 11: haga clic en Descargar certificado y guarde el archivo Certnew.cer en la
carpetaC:\Certificados\:
Paso 12: cambie a la consola de administración IIS y, en la parte derecha, haga clic enCompletar
solicitud de certificado.
Paso 13: en el paso Especificar respuesta de entidad de certificación, seleccione la ubicación

del archivo de respuesta C:\Certificados\certnew.cer, escriba certsrv en el campo Nombre
descriptivo y, a continuación, seleccione Personal en el campo Seleccione un almacén de
certificados para el nuevo certificado. Haga clic en Aceptar.
Paso 14: cambie a la consola de administración IIS, despliegue el árbol y seleccione Default Web
Site. En la parte derecha, haga clic en Enlaces.
Paso 15: en la ventana Enlaces de sitios, haga clic en Agregar.

Paso 16: en la ventana Agregar enlace de sitio, introduzca la información siguiente y haga clic
en Aceptar y en Cerrar.
Tipo: https
Puerto: 443
Nombre de host: certificados.infonovice.priv
Certificado SSL: certsrv
Paso 17: despliegue el árbol de Default Web Site y seleccione la carpeta virtual certsrv. En la
parte central, haga doble clic en Configuración de SSL.
Paso 18: marque la opción Requerir SSL y haga clic en Aplicar.
Paso 19: en el servidor DC-01, abra el Administrador del servidor, haga clic en Herramientas y,
a continuación, en DNS.
Paso 20: despliegue el árbol de la consola y, a continuación, cree un registro CNAME en la Zona
de búsqueda directa infonovice.priv. Indique la siguiente información y haga clic en Aceptar:
Nombre de alias: certificados
Nombre de dominio completo (FQDN): certificados.infonovice.priv
Nombre de dominio completo (FQDN) para el host de destino: CS-02.infonovice.priv

Paso 21: en la consola de administración IIS, seleccione el nombre del servidor IIS y, a
continuación, en la parte central, haga doble clic en Autenticación para habilitar la Autenticación
Windows y deshabilitar la autenticación anónima:
6. Solicitar un certificado
Este taller permite solicitar un certificado a la entidad de certificación emisora. El certificado a emitir
será de tipo Básico EFS, para el usuario Juan Dupont.
Paso 1: inicie una sesión en el servidor CS-02 con una cuenta de administrador del
dominioInfonovice.priv. Arranque el Administrador del servidor, haga clic en Herramientas y, a
continuación, en Entidad de certificación.
Paso 2: despliegue el árbol de la consola Entidad de certificación, seleccione el

contenedorPlantillas de certificado, haga clic con el botón derecho sobre él y, a continuación,
haga clic enAdministrar.
Paso 3: en la lista de plantillas de certificados disponibles, haga clic con el botón derecho en EFS
básico y, a continuación, haga clic en Propiedades.
Paso 4: en la ventana Propiedades: EFS básico, haga clic en la pestaña Seguridad. Seleccione
el grupo Usuarios autentificados, marque el permiso Inscribirse como autorizado y, a
Paso 5: cierre todas las ventanas de la consola de administración Entidad de certificación.
Paso 6: inicie una sesión en el equipo CLIENT1 con una cuenta de usuario del dominio
Infonovice.priv (conéctese con el usuario: jdupont; si esta cuenta de usuario no existe en su
dominio Active Directory, créela).
Paso 7: en la consola MMC, agregue el complemento Certificados.
Paso 8: despliegue el árbol de la consola para seleccionar el contenedor Personal. Haga clic con
el botón derecho encima y seleccione Todas las tareas y haga clic en Solicitar un nuevo
certificado.
Paso 9: en el paso Antes de comenzar, haga clic en Siguiente.
Paso 10: en el paso Seleccionar directiva de inscripción de certificados, seleccione la directiva

Active Directory y haga clic en Siguiente.
Paso 11: marque la opción correspondiente a la plantilla de certificado EFS básico y, a

continuación, haga clic en Inscribir:
Paso 12: cuando la operación finalice con éxito, haga clic en Finalizar.
Paso 13: en el árbol de la consola Certificados, navegue hasta el

contenedorPersonal/Certificados para ver el certificado EFS básico emitido por la entidad de
certificaciónInfonovice-Emisor-CA para el usuario Juan Dupont. Este certificado puede utilizarse, en
lo sucesivo, para cifrar datos locales con la tecnología EFS (Encrypting File System):
A lo largo de este capítulo, hemos visto todos los aspectos relativos a los servicios de certificados AD
CS de Microsoft Windows Server 2012 R2. Podría resumirse de la manera siguiente:
Las entidades de certificación permiten emitir y gestionar certificados a través del rol de
servidor AD CS.
AD CS posee los seis roles siguientes:
Entidad de certificación
Inscripción web de entidad de certificación
Respondedor en línea
Servicio de inscripción de dispositivo de red
Servicio web de inscripción de certificados
Servicio web Directiva de inscripción de certificados
AD CS puede instalarse según dos tipos de entidad de certificación:
Entidad de certificación independiente
Entidad de certificación empresarial
En una jerarquía de entidades de certificación de varias capas, las entidades de certificación de

mayor nivel deben configurarse fuera de línea para aumentar la seguridad.
Cuando se presenta un certificado, el sistema verifica en primer lugar su validez consultando la

lista de revocación de certificados o un respondedor en línea.
preguntas.
1. Preguntas
1 ¿Cuál es el objetivo de una infraestructura de clave pública en una red empresarial?
2 Cite los diferentes tipos de entidad de certificación contemplados por AD CS.
3 ¿Qué tipo de entidad de certificación instalamos en una CA raíz?
4 ¿Qué tipo de entidad de certificación instalamos en una CA intermedia?
5 ¿Qué tipo de entidad de certificación instalamos en una CA emisora?
6 ¿Cuál es el nombre del servicio Windows encargado del funcionamiento de AD CS?
7 Es el administrador informático de una gran infraestructura. Se le solicita instalar una

jerarquía de entidades de certificación AD CS de tres capas. ¿Qué tipo de entidad de
certificación debe instalar en cada capa?
8 Cite dos métodos que permitan visualizar la lista de certificados emitidos por una entidad de
certificación comercial aprobada.
9 ¿Para qué sirve una CRL?
10 ¿Para qué sirven las AIA?
11 ¿Cuáles son los seis servicios de rol del rol del servidor AD CS?
12 Cite al menos tres de las once plantillas de certificados.
2. Resultados
punto.
3. Respuestas
1 ¿Cuál es el objetivo de una infraestructura de clave pública en una red empresarial?
Una infraestructura de clave pública permite securizar el acceso, las comunicaciones o la integridad
de los datos en una red empresarial
2 Cite los diferentes tipos de entidad de certificación contemplados por AD CS.
Existen dos tipos de entidad de certificación en AD CS. Las CA independientes y las CA

empresariales integradas en Active Directory.
3 ¿Qué tipo de entidad de certificación instalamos en una CA raíz?
Una CA raíz debe instalarse con una entidad de certificación independiente.
4 ¿Qué tipo de entidad de certificación instalamos en una CA intermedia?
Una CA intermedia debe instalarse con una entidad de certificación independiente.
5 ¿Qué tipo de entidad de certificación instalamos en una CA emisora?
Una CA emisora debe instalarse con una entidad de certificación empresarial.
6 ¿Cuál es el nombre del servicio Windows encargado del funcionamiento de AD CS?

La instalación del rol de servidor AD CS instala a su vez el servicio Windows asociado llamado
Servicio de certificados.
7 Es el administrador informático de una gran infraestructura. Se le solicita instalar una

jerarquía de entidades de certificación AD CS de tres capas. ¿Qué tipo de entidad de
certificación debe instalar en cada capa?
En una jerarquía de entidad de certificación de tres capas, cada nivel debe ser instalado según el
tipo de CA siguiente:
CA raíz: entidad de certificación independiente (para implementar fuera de línea)
CA interm edia: entidad de certificación independiente (para implementar fuera de línea)
CA em isora: entidad de certificación empresarial (para dejar en línea)
8 Cite dos métodos que permitan visualizar la lista de certificados emitidos por una entidad de
certificación comercial aprobada.
Para visualizar la lista de certificados emitidos por una entidad de certificación comercial aprobada,
podemos:
Abrir las propiedades de un navegador Web para ver los certificados.
Abrir el complemento certm gr.m sc o certlm .m sc.
9 ¿Para qué sirve una CRL?
Una CRL (lista de revocación de certificados) permite visualizar los certificados digitales inválidos o
revocados. Esta lista se actualiza automáticamente desde una entidad de certificación.
10 ¿Para qué sirven las AIA?
Las AIA (Authority Information Access) permiten indicar a los usuarios la ubicación del certificado
de la entidad de certificación raíz.
11 ¿Cuáles son los seis servicios de rol del rol del servidor AD CS?
AD CS posee los seis servicios de rol siguientes:
Entidad de certificación
Solicitud de certificados vía Web
Respondedor en línea
Inscripción de dispositivo de red
Inscripción de certificados
Directivas de certificados
12 Cite al menos tres de las once plantillas de certificados.
Existen once plantillas de certificado:
Replicación de directorio de correo electrónico
Autenticación de controlador de dominio
Autenticación Kerberos
Agente de recuperación EFS
EFS básico
Controlador de dominio
Servidor Web
Equipo
Usuario
Entidad de certificación subordinada
Administrador
Tener conocimientos básicos de la administración de Windows Server 2012 R2.
Tener nociones básicas de la gestión de permisos NTFS.
Saber gestionar una infraestructura AD CS.
2. Objetivos
Comprender la gestión de derechos AD RMS.
Conocer los diferentes componentes de una infraestructura AD RMS.
Saber instalar una infraestructura AD RMS.
Saber configurar una infraestructura AD RMS.
Saber implementar una infraestructura AD RMS.
Saber proteger la integridad de los datos.

Servicios de gestión de derechos
A partir de Windows Server 2008, los servicios de gestión de derechos digitales se presentan bajo la
forma de un rol de servidor llamado AD RMS (Active Directory Rights Management Services). AD RMS
permite extender los permisos de seguridad NTFS para aportar una seguridad complementaria
pensada para proteger la integridad de los datos. En comparación, los servicios de administración de
derechos en Windows Server realizan las mismas funciones que la gestión de derechos digitales para
el contenido de audio o vídeo (DRM, Digital Rights Management).
1. Presentación de AD RMS
AD RMS es un rol de servidor que permite proteger la integridad de los datos generados en su
empresa. Este rol permite, en particular, preservar la propiedad intelectual así como el contenido de
datos hospedados o intercambiados con otros asociados. La protección de un servidor de archivos
con los permisos tradicionales NTFS pueden verse limitados en un proceso de gestión de derechos
digitales. AD RMS permite extender la seguridad de NTFS para proteger, por ejemplo, el contenido
de los archivos de Office. Cuando un usuario accede a un recurso compartido de red para abrir un
documento Word, el sistema verifica las ACL para verificar que el usuario está autorizado para leer o
modificar el contenido. Sin embargo, una vez que se abra el documento, la seguridad NTFS no puede
impedir que el contenido se conserve. De este modo, el usuario que abra el archivo también puede
imprimir los datos visualizados, o copiarlos para modificarlos más tarde. AD RMS permite responder a
esta necesidad de seguridad implementando una capa adicional a través de una nueva tecnología
que puede basarse en los componentes AD DS (Servicios de dominio de Active Directory), AD CS
(Servicios de certificados) y AD FS (Servicios de federación). Mediante la implementación del rol de
servidor AD RMS, es posible proteger el contenido de sus datos tanto en el interior de su red
empresarial como en el exterior. Este rol de servidor es, en cierta medida, una evolución del servicio
de administración de derechos de Microsoft (RM: Rights Management), disponible con el sistema
operativo Windows Server 2003 en la forma de un servicio Windows llamado RMS (Rights
Management Services).
a. Funcionamiento de AD RMS
Para proteger los datos confidenciales de su empresa, una infraestructura de gestión de derechos
Active Directory se basa en un conjunto de servidores AD RMS que gestionan el conjunto de reglas
de protección de los datos así como el intercambio de certificados y licencias de acceso al servicio.
La configuración de la infraestructura, así como los registros de actividad, se almacenan en una
base de datos. Los usuarios acceden al contenido protegido y cifrado mediante un cliente AD RMS
que se autentica automáticamente en un directorio Active Directory para garantizar que el usuario
está habilitado para utilizar el contenido protegido. El usuario obtiene, a continuación, un
certificado que le permite descifrar los datos protegidos. Los servicios de gestión de derechos se
basan a su vez en los servicios Web IIS. El conjunto de usuarios o grupos que deben tener acceso
a los servicios de administración de derechos Active Directory deben poseer una dirección de
correo electrónico configurada en su perfil Active Directory.
AD RMS es compatible en particular con las siguientes aplicaciones:
Pack Office 2003 / 2007 / 2010 / 2013
Microsoft SharePoint 2003 / 2007 / 2013
Microsoft Exchange Server 2007 / 2010 / 2013
XPS Viewer
Internet Explorer (requiere la instalación de un módulo complementario)
Adobe Acrobat Reader
La instalación de una infraestructura de este tipo requiere la formación de los usuarios, ya que son
ellos los que deben definir los elementos a securizar indicando si el documento puede ser
sobreescrito, copiado, impreso, etc. Estos datos se almacenan directamente en el documento de
manera que puede intercambiarse fuera de la infraestructura de red empresarial. Solo los usuarios
autenticados o que dispongan de un certificado válido pueden acceder a los datos protegidos.
Cuando un usuario securiza un documento empleando los servicios de administración de derechos,
la infraestructura AD RMS genera una licencia de uso que se almacena dentro del documento. Si el
usuario forma parte de su organización, o de una entidad aprobada por los servicios de
federación, el cliente AD RMS instalado en la máquina cliente solicita automáticamente una licencia
de uso a la infraestructura AD RMS.
Para facilitar la gestión de los derechos cuando un usuario genera contenido, un administrador de
la infraestructura AD RMS puede a su vez desplegar plantillas de directivas de permisos. En función
del uso del contenido, un usuario podrá aplicar la plantilla de directiva directamente sin tener que
preocuparse de los elementos a configurar para proteger eficazmente su contenido.
La instalación de un servidor AD RMS crea un primer servidor en un clúster raíz. Este clúster no
necesita contar con las tecnologías de clustering de Microsoft o de equilibrio de carga de red. Un
clúster raíz AD RMS aporta simplemente una solución de alta disponibilidad para las peticiones de
los usuarios utilizando una tecnología propia de los servicios de gestión de derechos de Active
Directory. Si la infraestructura AD RMS va a trabajar con un solo servidor de gestión de derechos,
es posible utilizar una base de datos interna llamada WID (Windows Internal Database), que está
integrada en el sistema operativo. Esta instancia de base de datos solo permite la creación de un
único servidor en el clúster AD RMS raíz. Una infraestructura AD RMS soporta como mínimo la
utilización de una base de datos Microsoft SQL Server 2008.
La instalación del primer servidor del clúster raíz AD RMS necesita la creación de una clave de
cifrado. Esta clave debe asignarse a todos los servidores que se unan al clúster para que estos
puedan, a su vez, cifrar los certificados o las licencias a transmitir a los usuarios. Existen dos
métodos de almacenamiento de esta clave de cifrado:
Almacenamiento centralizado: permite almacenar la clave de cifrado en la base de datos

del clúster AD RMS. De esta forma, cada servidor que se una al clúster puede recuperar
automáticamente la clave de cifrado sin intervención del administrador.
Almacenamiento manual: obliga a seleccionar un proveedor de servicios criptográfico para

cifrar la clave, que debe almacenarse, posteriormente, de forma manual. Cada servidor que
solicite unirse al clúster debe recuperar esta clave de cifrado antes de integrarse en el
clúster raíz AD RMS.
b. Administración de AD RMS
La administración del rol de servidor AD RMS se realiza mediante un complemento ubicado en la

siguiente ruta: %SYSTEMROOT%\system32\AdRmsAdmin.msc
El clúster AD RMS raíz es accesible a través de una URL que es preferible asociar a un alias DNS
declarado previamente en el servidor de nombres de su organización. El clúster AD RMS raíz utiliza
las carpetas virtuales siguientes en el árbol del sitio web predeterminado:
_wmcs
admin
certification
decommission
groupexpansion
licensing
Estas carpetas virtuales albergan los servicios web utilizados por la gestión del clúster AD RMS. La
consola de administración está configurada para apuntar a la URL del clúster AD RMS utilizando los
protocolos HTTP o HTTPS según la configuración del administrador de servicios de Internet (IIS). En
entornos de producción, es preferible securizar el acceso al clúster AD RMS implementando la
autenticación SSL, ofreciendo así una protección mediante la aprobación de un certificado.
Las carpetas virtuales dedicadas a la administración de los servicios de gestión de derechos se

almacenan de manera local en la carpeta siguiente: C:\inetpub\wwwroot\_wmcs
Para verificar si el servicio Web administrador de roles AD RMS está operativo, basta con acceder a
la URL siguiente:
http://<Alias DNS del clúster>/_wmcs/admin/RoleMgr.asmx
o bien
https://<Alias DNS del clúster>/_wmcs/admin/RoleMgr.asmx

Los servicios web AD RMS se gestionan a través de un grupo de aplicaciones
llamado_DRMSAppPool1. Este grupo de aplicaciones utiliza la cuenta de servicio introducida
durante la instalación del rol de servidor AD RMS basándose en el Framework .NET 4.0.30319.
El administrador de licencias AD RMS está accesible en la URL siguiente:
https://cluster-adrms.infonovice.priv/_wmcs/licensing
Es posible, no obstante, modificar en cualquier momento la URL del administrador de licencias a

través de las propiedades del clúster AD RMS, haciendo clic en la pestaña Direcciones URL del
clúster. En esta misma pestaña es posible configurar las URL de la Extranet, para hacer que AD
RMS esté disponible desde el exterior de la red empresarial:
El administrador de certificados AD RMS está disponible en la URL siguiente:
https://cluster-adrms.infonovice.priv/_wmcs/certification/certification.asmx
Es posible, no obstante, modificar en cualquier momento la URL del administrador de certificados

mediante las propiedades del clúster AD RMS, haciendo clic en la pestaña SCP. La información del
clúster raíz AD RMS está publicada en el servicio de dominio Active Directory, sobra decir que solo
una cuenta de administración del dominio puede realizar dicha modificación:
Si el clúster emplea una base de datos interna en lugar de una base de datos empresarial
comoMicrosoft SQL Server, el proceso de instalación instala la base de datos WID (Windows Internal
Database), que emplea los servicios Windows siguientes:
Base de datos interna de Windows:
Editor de VSS de la base de datos interna de Windows:

Una vez configurado el complemento para apuntar a la URL del clúster AD RMS, la interfaz de
administración permite acceder a los siguientes elementos de configuración:
Directivas de confianza:
Dominios de usuario de confianza: permite conceder licencias de uso a los usuarios que
posean un certificado de cuenta de derechos emitido en un clúster AD RMS externo.
Dominios de publicación de confianza: permite descifrar las licencias de publicación de

un clúster AD RMS externo, para poder distribuir las licencias de uso de contenido a los
usuarios aprobados.
Compatibilidad con identidad federada: esta característica solo está disponible si se

encuentran implementados los servicios AD FS y si los servicios de rol AD RMS soportan la
federación de identidades. Permite dar soporte a usuarios emitidos por entornos
aprobados (también es posible dar soporte a usuarios que posean una cuenta Windows
Live).
Compatibilidad con Microsoft Federation Gateway: esta característica solo está

disponible si los servicios AD FS están implementados, así como los roles AD
RMSCompatibilidad con la federación de identidades.
Plantillas de directiva de derechos: permite definir las reglas de protección del contenido
aplicadas a los documentos a proteger.
Directivas de certificados de cuenta de derechos: permite a los usuarios recuperar un

certificado de cuenta de derechos que les permite acceder al contenido protegido. Los
certificados de cuentas de derechos estándar se almacenan de manera local en el equipo
del usuario aprobado y son válidos durante 365 días de manera predeterminada. Los
certificados de cuentas de derechos temporales se configuran con una duración de 15 min
por defecto, para que un usuario pueda consultar el contenido protegido desde una
ubicación diferente de su puesto de trabajo habitual.
Directivas de exclusión:
Usuarios: permite bloquear los certificados de cuenta de derechos asignados a usuarios

específicos. Para bloquear el acceso de un usuario interno o externo a su organización,
basta con introducir la clave pública de su certificado de cuenta de derechos, o indicar su
dirección de correo electrónico. Por defecto, la directiva de exclusión Usuarios está
deshabilitada. Si no desea que AD RMS impacte al conjunto de sus colaboradores, puede
crear una directiva de exclusión de usuarios para limitar el uso de la protección de datos
digitales a un conjunto de usuarios o departamentos confidenciales de su organización.
Aplicaciones: permite bloquear las aplicaciones que no están aprobadas por el clúster AD
RMS. Para bloquear una aplicación, basta con indicar el nombre del ejecutable a excluir,
así como su versión. Por defecto, la directiva de exclusión Aplicaciones está deshabilitada.
Caja de seguridad: permite bloquear a los usuarios que acceden a la infraestructura AD

RMS utilizando un cliente cuya versión de referencia está por debajo de la versión
especificada en la directiva de exclusión. Esto obliga a los usuarios a acceder a los
contenidos protegidos a través de un cliente actualizado, ofreciendo de esta forma el
máximo nivel de seguridad en las fases de cifrado y descifrado del contenido securizado.
Directivas de seguridad:
Superusuarios: permite definir un grupo llamado Superusuarios. El conjunto de

integrantes de este grupo recibe las licencias de uso de los propietarios permitiéndoles
descifrar todo el contenido publicado en el clúster AD RMS. Por defecto, la administración
del grupo superusuarios está deshabilitada.
Contraseña de la clave del clúster: permite restablecer la contraseña de la clave del

clúster.
Retirada: permite proporcionar a los usuarios el control de acceso total a su contenido

previamente securizado por la infraestructura de administración de derechos Active
Directory. Esta acción solo debe contemplarse si tiene previsto eliminar el rol de servidor
AD RMS de su organización.
Informes:
Informes de estadísticas: permite obtener las estadísticas de los usuarios que han
recibido un certificado de cuenta de derechos desde el clúster AD RMS.
Informes de mantenimiento: permiten visualizar la información del estado del clúster AD

RMS. Estos informes solo funcionan una vez descargado el componente Control Visor de
informes de Microsoft.
Informes de solución de problemas: permite visualizar los datos de posibles problemas

de licencias AD RMS. Estos informes solo funcionan una vez descargado el
componenteControl Visor de informes de Microsoft.
c. Componentes de AD RMS
Los servicios de gestión de derechos Active Directory presentan una infraestructura compleja. Se
basan en la instalación y gestión de los siguientes componentes:
Un bosque que albergue los servicios de directorio de Active Directory.
Los servidores AD RMS (en clúster) publicados en Active Directory.
Un servidor SQL.
Un clúster de servidores Web IIS.
Los clientes AD RMS.
2. Instalar y configurar AD RMS

Antes de instalar los servicios de gestión de derechos de Active Directory, es importante diseñar
previamente la arquitectura de destino para saber exactamente cómo se utilizará AD RMS en su red
empresarial. Solo haciéndonos las preguntas adecuadas será más fácil implementar una
infraestructura de tal magnitud.
a. Realizar el esquema de la infraestructura
La instalación de AD RMS requiere profundizar en algunas restricciones técnicas con el fin de

implementar mejor los componentes en su arquitectura existente. La infraestructura AD RMS
depende fundamentalmente de sus necesidades y su presupuesto. Para responder mejor a sus
necesidades de infraestructura AD RMS, conviene hacerse las siguientes preguntas:
¿Cuántos servidores AD RMS deben ser desplegados?
¿Debe utilizar la infraestructura un servidor SQL o la base de datos integrada?
¿Estará compuesta la infraestructura de un clúster de servidores AD RMS?
¿Cuál será la estrategia de protección de los datos?
¿Deben protegerse los datos solamente para un uso interno o también para su uso
externo?
¿Debe funcionar la infraestructura en un entorno compuesto por varios bosques?
¿Debe separarse la gestión de las licencias en un clúster AD RMS dedicado?
Todas estas preguntas son esenciales para definir la arquitectura final de su infraestructura AD
RMS. Por ejemplo, la opción de utilizar una base de datos interna o distinta de Microsoft SQL
Server tendrá un impacto en la implementación de los clústeres de servidores AD RMS. Solo una
base de datos Microsoft SQL Server puede recibir varias conexiones, de ahí la posibilidad de crear
un clúster de servidores AD RMS. El uso de una base de datos interna solo permite aceptar una
conexión, de ahí la instalación de un único servidor AD RMS en la infraestructura. Esto puede
interesar para un entorno de prueba o maqueta, pero no convendrá para un entorno de
producción.
b. Requisitos previos de instalación
Antes de comenzar la instalación de una infraestructura AD RMS, es importante conocer las

recomendaciones siguientes:
Un bosque Active Directory solo puede albergar un clúster de servidores AD RMS.
AD RMS no debe instalarse en un controlador de dominio.
AD RMS debe instalarse en un servidor miembro de un dominio Active Directory.
La base de datos centralizada del clúster AD RMS debe instalarse, como mínimo, en una
versión de Microsoft SQL Server 2008 (si la infraestructura cuenta con un solo servidor AD
RMS, es posible utilizar la base de datos interna de Microsoft).
Los equipos cliente deben utilizar, todos ellos, un cliente AD RMS válido. Por defecto, los
sistemas operativos cliente como Microsoft Windows Vista, Windows 7 o Windows 8
integran un cliente AD RMS. Del lado de los servidores los sistemas operativos como
Microsoft Windows Server 2008, 2008 R2, 2012 y 2012 R2 integran un cliente AD RMS.
Conviene tener en cuenta estos datos en un despliegue de AD RMS.
En cuanto a los requisitos técnicos, los servidores que compongan el clúster AD RMS deben
responder a las siguientes características mínimas:
Procesador: Pentium 4 a 3 GHz o superior
Memoria RAM: 512 MB
Disco duro: 40 GB de espacio libre en disco
Las características hardware recomendadas son las siguientes:
Procesador: dos Pentium 4 a 3 GHz o superior
Memoria RAM: 1024 MB

Disco duro: 80 GB de espacio libre en disco
3. Proteger el contenido de los archivos

La protección de los documentos puede llevarse a cabo mediante una plantilla de directiva de
permisos. Cada grupo de seguridad o usuario afectado por la directiva debe poseer una dirección de
correo electrónico en las propiedades del objeto de Active Directory asociado. Sin una dirección de
correo electrónico, el ámbito de la protección no podrá implicar al usuario o grupo objetivo.
Las plantillas de directivas pueden tener en cuenta las siguientes funcionalidades:
Especificar el idioma del cliente AD RMS soportado.
Especificar la información complementaria para las aplicaciones compatibles con AD RMS.
Definir los permisos autorizados para explotar el contenido protegido.
Definir la fecha de caducidad del contenido.
Definir la fecha de expiración de la licencia de uso.
Por defecto, el asistente de creación de una plantilla de directiva de permisos ofrece la posibilidad
de autorizar o restringir los permisos siguientes:
Control total
Ver
Editar
Guardar
Exportar (Guardar como)
Imprimir
Reenviar
Responder
Responder a todos
Extraer
Permitir macros
Ver derechos
Editar derechos
El proceso de protección de un documento es el siguiente:
El usuario crea un documento cuyo contenido debe protegerse.
El equipo cliente realiza una solicitud de certificado de licencia al clúster AD RMS.
El usuario recibe un certificado de licencia para proteger su contenido.
El usuario configura el documento indicando la directiva de protección aplicada para sus

destinatarios.
Cuando el usuario valida la configuración, se cifra el archivo.
El proceso de acceso a un documento protegido es el siguiente:
El usuario abre un documento cuyo contenido está protegido.
La aplicación compatible con AD RMS solicita la información de credenciales.
Una vez introducidas las credenciales, la aplicación interroga al clúster empleando la URL
configurada para saber si el usuario está autorizado y si puede recuperar una licencia de
uso.
El usuario aprobado obtiene una licencia de uso que le permite descifrar el contenido
protegido.
Trabajos prácticos
La empresa INFONOVICE desea securizar el acceso a sus datos almacenados en el servidor de
archivos. Después de la compra de la empresa OXYFILM, se le pide implementar la tecnología AD RMS
para securizar el contenido de los datos compartidos entre los dominios INFONOVICE.priv y
OXYFILM.local. El conjunto de los documentos generados por los usuarios del departamento de RRHH
deben securizarse para que usuarios del departamento de marketing puedan tener acceso solo de
lectura, con restricciones para copiar o imprimir el contenido.
Para responder a esta necesidad, se le pide implementar la tecnología AD RMS para que los dos
bosques puedan intercambiar los datos, cuyo contenido debe estar protegido para limitar la copia o
impresión.
CS-02: entidad de certificación emisora (CA empresarial), Infonovice.priv
FILES-01: servidor de archivos, AD RMS, Infonovice.priv
Particiones: C:\, E:\ (50 GB)
CLIENT1: cliente DNS y DHCP, Pack Office 2010, Infonovice.priv
DC-05: controlador de dominio oxyfilm.local, servidor DNS
CLIENT3: cliente DNS y DHCP, oxyfilm.local
1. Preparar el despliegue AD RMS

1. Preparar el despliegue AD RMS
Este taller permite preparar la instalación del rol de servidor AD RMS.
Infonovice.priv, en el Administrador del servidor, haga clic en Herramientas y, a continuación,
en DNS.
Paso 2: despliegue el árbol de la consola, haga clic con el botón derecho en Reenviadores
condicionales y, a continuación, haga clic en Nuevo reenviador condicional.
Paso 3: en la ventana Nuevo reenviador condicional, escriba oxyfilm.local en el

campoDominio DNS y, a continuación, escriba 192.168.0.118 en el campo Direcciones IP de los
servidores maestros. A continuación, haga clic en Aceptar.
Paso 4: inicie una sesión en el servidor DC-05 con una cuenta de administrador del
dominioOxyfilm.local a continuación, en el Administrador del servidor, haga clic
en Herramientas y enDNS.
Paso 6: en la ventana Nuevo reenviador condicional, escriba infonovice.local en el

Paso 7: cambie al servidor DC-01, en el Administrador del servidor, haga clic

en Herramientasy, a continuación, en Usuarios y equipos de Active Directory.
Paso 8: cree el árbol de unidades organizativas siguiente:
INFONOVICE\Usuarios
INFONOVICE\RRHH
INFONOVICE\Grupos
INFONOVICE\Cuentas de servicio
Paso 9: cree la cuenta de usuario siguiente en la UO INFONOVICE\RRHH:
Nombre completo: Juan Dupont
Apellidos: Dupont
Nombre de pila: Juan
Inicio de sesión: jdupont
Contraseña: P@ssw0rd
E-mail: jdupont@infonovice.priv
Paso 10: cree la cuenta de usuario siguiente en la UO INFONOVICE\Usuarios:
Nombre completo: Marcos Lablanca
Apellidos: Lablanca
Nombre de pila: Marcos
Inicio de sesión: mlablanca
E-mail: mlablanca@infonovice.priv
Paso 11: cree la cuenta de servicio siguiente en la UO INFONOVICE\Cuentas de servicio:

Nombre completo: svc-adrms
Apellidos: svc-adrms
Nombre de pila: svc-adrms
Inicio de sesión: svc-adrms
Opciones de contraseña: La contraseña nunca expira
Paso 12: cree los siguientes grupos de seguridad en la UO INFONOVICE\Grupos, con las
características siguientes:
Nombre de grupo: GG_RH_Users
Tipo: Grupo de seguridad
Ámbito: Global
E-mail: RRHH@infonovice.priv
Miembros: Juan Dupont
Nombre de grupo: GG_MARKETING_Users
Ámbito: Global
E-mail: marketing@infonovice.priv
Miembros: Marcos Lablanca
Nombre de grupo: GG_ADRMS_SuperUsers
Ámbito: Global
E-mail: superusers@infonovice.priv
Paso 13: en DC-01, abra el Administrador del servidor, haga clic en Herramientas y, a
continuación, en DNS.
Paso 14: despliegue el árbol de la consola hasta Zonas de búsqueda directa\infonovice.priv, a

continuación, cree un alias CNAME con las siguientes características y haga clic en Aceptar:
Nombre de alias: CLUSTER-ADRMS
Nombre de dominio completo (FQDN): CLUSTER-ADRMS.infonovice.priv
Nombre de dominio completo (FQDN) para el host de destino: FILES-01.infonovice.priv

Paso 15: inicie una sesión en el servidor CS-02 (servidor de certificados que alberga la entidad
de certificación empresarial emisora) con una cuenta de administrador del dominio Infonovice.priv.
Abra el Administrador del servidor, haga clic en Herramientas y, a continuación, en Entidad de
certificación.
Paso 16: despliegue el árbol de la consola para seleccionar el contenedor Plantillas de

certificado. Haga clic con el botón derecho encima y haga clic en Administrar.
Paso 17: en la lista de plantillas de certificado disponibles, seleccione el certificado Servidor Web,
haga clic con el botón derecho encima y haga clic en Plantilla duplicada.
Paso 18: en la ventana Propiedades de plantilla nueva, seleccione Windows Server 2012 en
el campo Entidad de certificación de la sección Compatibilidad y haga clic en Aceptar para
validar la selección. A continuación, seleccione Windows 8 / Windows Server 2012 en el
campoDestinatario del certificado y haga clic en Aceptar para validar la selección.
Paso 19: haga clic en la pestaña General de la ventana Propiedades de plantilla nueva y
escriba Servidor Web ADRMS en el campo Nombre para mostrar de la plantilla. A continuación,
marque la opción Publicar certificado en Active Directory.
Paso 20: haga clic en la pestaña Seguridad de la ventana Propiedades de plantilla nueva y
haga clic en Agregar para seleccionar la cuenta de equipo FILES-01. Marque los
permisos Leer yInscribirse, a continuación haga clic en Aceptar para cerrar las propiedades de
la nueva plantilla de certificado y cierre la consola de plantillas de certificado.
Paso 21: en la consola Entidad de certificación, haga clic con el botón derecho en Plantillas de
certificado, haga clic en Nuevo y, a continuación, en Plantilla de certificado que se va a emitir.
Seleccione la plantilla de certificado llamada Servidor Web ADRMS y, a continuación, haga clic
enAceptar:
2. Instalar AD RMS
Este taller permite instalar el rol de servidor AD RMS en el servidor de archivos FILES-01. Este primer
servidor constituye el clúster AD RMS.
Paso 1: inicie una sesión en el servidor FILES-01 con una cuenta de administrador del dominio
Infonovice.priv y, a continuación, en el Administrador del servidor, haga clic en Agregar roles y
características.
Paso 3: en el paso Seleccionar roles de servidor, marque la opción correspondiente al rolActive

Directory Rights Management Services y, a continuación, haga clic en el botón Agregar
La instalación de los servicios AD RMS agrega a su vez el rol Servidor Web IIS.
Paso 5: en el paso Active Directory Rights Management Services, haga clic en Siguiente.
Paso 6: en el paso Seleccionar servicios de rol, marque la opción Servidor de Active Directory
Rights Management Services y, a continuación, haga clic en Siguiente:
Paso 7: en el paso Rol de servidor Web (IIS) , haga clic en Siguiente.
Paso 10: en el paso Progreso de la instalación, haga clic en Cerrar.
3. Configuración posterior a la instalación AD RMS

Este taller permite configurar el rol del servidor AD RMS en el servidor de archivos FILES-01.
Infonovice.priv y, a continuación, en el Administrador del servidor, haga clic en la bandera con la
notificación amarilla. A continuación, haga clic en Realice tareas de configuración adicionales.
Paso 2: en la ventana de configuración AD RMS, haga clic en Siguiente.
Paso 3: en el paso Clúster de AD RMS, la opción Crear un nuevo clúster raíz de AD RMS está
previamente seleccionada porque se trata de la configuración del primer servidor de la
infraestructura. Haga clic en Siguiente.
Paso 4: en el paso Base de datos de configuración, marque la opción Usar Windows Internal
Database en este servidor y haga clic en Siguiente.
Paso 5: en el paso Cuenta de servicio, haga clic en Especificar para indicar la cuenta de
servicioINFONOVICE\svc-adrms. A continuación, haga clic en Siguiente:
Paso 6: en el paso Modo criptográfico, marque la opción Modo criptográfico 2 (esto permite
mejorar la seguridad) y, a continuación, haga clic en Siguiente.
Paso 7: en el paso Almacenamiento de la clave del clúster, marque la opción Usar

almacenamiento de claves administrado centralmente por AD RMS y haga clic en Siguiente.
En un entorno de producción, es recomendable seleccionar la opción Usar almacenamiento de

claves CSP.
Paso 8: en el paso Contraseña de la clave del clúster, escriba P@ssw0rd en el campo dedicado
a las contraseñas y, a continuación, haga clic en Siguiente.
Paso 9: en el paso Sitio web del clúster, seleccione el rol Default Web Site y haga clic
enSiguiente.
Paso 10: en el paso Dirección de clúster, marque la opción Usar una conexión cifrada con
SSLen la sección Tipo de conexión y, a continuación, escriba CLUSTER-ADRMS.infonovice.priv en el
campo https:// de la sección Nombre de dominio completo. A continuación, haga clic
enSiguiente:
Paso 11: en el paso Certificado de servidor, marque la opción Elegir un certificado existente
para cifrado SSL y, a continuación, haga clic en Siguiente.
Paso 12: en el paso Certificado emisor de licencias, escriba INFONOVICEADRMS en el

campoNombre y, a continuación, haga clic en Siguiente.
Paso 13: en el paso Registro de SCP, marque la opción Registrar el SCP ahora y, a
Paso 14: en el paso Confirmación, haga clic en Instalar.
Paso 15: en el paso Resultado, compruebe que se han configurado los servicios AD RMS y, a
continuación, haga clic en Cerrar.
Paso 16: abra el Administrador del servidor del servidor FILES-01, haga clic
en Herramientasy, a continuación, en Administrador de Internet Information Services (IIS).
Paso 17: en la parte izquierda del árbol de la consola, seleccione el nombre del servidor. En la
parte central, haga doble clic en Certificados de servidor.
Paso 18: en la parte derecha, haga clic en Crear una solicitud de certificado.
Paso 19: en la ventana Solicitar certificado, escriba la siguiente información y, a continuación,

Nombre común: CLUSTER-ADRMS.infonovice.priv
Unidad organizativa: AD RMS
Estado o provincia: Madrid
País o región: ES
El campo Nombre común corresponde a la URL definitiva, es decir http://CLUSTER-
ADRMS.infonovice.priv.
Paso 20: en el paso Propiedades de proveedor de servicios criptográficos, seleccione una

longitud en bits de 2048 y, a continuación, haga clic en Siguiente.
Paso 21: cree la carpeta C:\Certificados. En el paso Nombre de archivo,

escribaC:\Certificados\Solicitud.txt y haga clic en Finalizar.
Paso 22: abra el navegador Internet Explorer, escriba la URL siguiente: http://CS-02/certsrv, y
haga clic en Solicitar un certificado.
Paso 23: haga clic en Solicitud avanzada de certificado.
Paso 24: haga clic en Enviar una solicitud de certificado con un archivo.
Paso 25: copie el contenido del archivo C:\Certificados\Solicitud.txt en la sección Guardar

solicitud. Seleccione la plantilla de certificado Servidor Web ADRMS y, a continuación, haga clic
enEnviar:
Paso 26: haga clic en Descargar certificado y guarde el archivo Certnew.cer en la
carpetaC:\Certificados\.
Paso 27: cambie a la consola de administración IIS y, en la parte derecha, haga clic enCompletar
solicitud de certificado.
Paso 28: en el paso Especificar respuesta de entidad de certificación, seleccione la ubicación

del archivo de respuesta C:\Certificados\certnew.cer, escriba Servidor Web ADRMS en el
campoNombre descriptivo y, a continuación, seleccione Personal en el campo Seleccione un
almacén de certificados para el nuevo certificado. Haga clic en Aceptar.
Paso 29: cambie a la consola de administración IIS, despliegue el árbol y seleccione Default Web
Site. En la parte derecha, haga clic en Enlaces.
Paso 30: en la ventana Enlaces, haga doble clic en el tipo de vínculo https.
Paso 31: en la ventana Modificar enlace de sitio, introduzca la información siguiente y, a

continuación, haga clic en Aceptar y en Cerrar.
Tipo: https
Puerto: 443
Nombre de host: CLUSTER-ADRMS.infonovice.priv
Certificado SSL: Servidor Web ADRMS

Paso 32: inicie una sesión en el servidor FILES-01.
4. Configurar la consola AD RMS

Este taller permite configurar la consola de administración AD RMS en el servidor de archivos FILES-
01.
en Active Directory Rights Management Services.
Paso 2: en el árbol de la consola, haga clic con el botón derecho en el nombre del clúster servidor
local y, a continuación, haga clic en Eliminar.
Paso 3: en la ventana Quitar clúster, haga clic en Sí.
Paso 4: haga clic con el botón derecho en el nodo raíz de la consola y haga clic en Agregar
clúster.
Paso 5: en la ventana Agregar clúster, seleccione HTTPS con número de puerto 443 en la
sección Protocolo de conexión. Marque la opción Equipo remoto y escriba cluster-
adrms.infonovice.priv en la sección Conectar a. Marque la opción Conectar como e introduzca las
credenciales de conexión de una cuenta de administrador del dominio Infonovice.priv, a
continuación, haga clic en Finalizar.
Paso 6: la consola de administración AD RMS permite, en lo sucesivo, administrar el clúster a
través de servicios web:
5. Configurar los superusuarios

Este taller permite configurar un grupo de superusuarios en el clúster AD RMS. Los integrantes de
este grupo tienen la posibilidad de descifrar todo el contenido publicado en la infraestructura AD RMS.
Paso 2: despliegue el árbol de la consola y seleccione Superusuarios en el nodo Directivas de
seguridad.
Paso 3: en el menú Acciones, haga clic en Habilitar superusuarios.
Paso 4: en la parte central de la consola, haga clic en Cambiar grupo de superusuarios.
Paso 5: en la ventana Superusuarios, haga clic en Examinar para seleccionar el grupo de

seguridad global GG_ADRMS_SuperUsers. Verifique que la dirección e-mail asociada al grupo de
seguridad se muestra correctamente en el campo Grupo de superusuarios y, a continuación,
6. Configurar una plantilla de directiva

Este taller permite crear una plantilla de directiva de derechos que limita el uso de un contenido solo
para su lectura por parte de los usuarios del departamento de Marketing. El contenido protegido debe
configurarse con una expiración en 5 días, que se corresponde con una semana laboral, y una licencia
de uso de 5 días.
Paso 2: despliegue el árbol de la consola hasta seleccionar Plantillas de directiva de

derechosbajo el nodo Directivas de confianza.
Paso 3: en el menú Acciones, haga clic en Administrar plantillas de directiva de derechos

distribuidas y, a continuación, haga clic en Crear plantilla de directiva de derechos distribuida.
Paso 4: en la ventana Crear plantilla de directiva de derechos distribuida, haga clic

en Agregaren el paso Agregar información de identificación de plantilla.
Paso 5: en la ventana Agregar nueva información de identificación de la plantilla, introduzca

los valores siguientes y, a continuación, haga clic en Agregar:
Idioma: español (España, alfabetización internacional)
Nombre: Lectura
Descripción: Protección AD RMS - Copia o impresión restringidas
Paso 6: haga clic en Siguiente.
Paso 7: en el paso Agregar derechos de usuario, haga clic en Agregar en la sección Usuarios y
derechos para especificar el grupo de seguridad global GG_MARKETING_Users (E-mail:
marketing@infonovice.priv) y, a continuación, haga clic en Aceptar:
Paso 8: en la sección Derechos de marketing@infonovice.priv, marque la opción Ver y, a

Paso 9: en el paso Especificar directiva de expiración, indique un valor para la expiración del
contenido, así como para la expiración de la licencia de uso, igual a 5 días. A continuación, haga
clic en Siguiente:
Paso 10: en el paso Especificar directiva extendida, marque la opción Requerir una nueva
licencia de uso cada vez que se consuma contenido y, a continuación, haga clic en Finalizar:
Paso 11: su plantilla de directiva de derechos aparece, ahora, en la consola, aunque la ubicación
del archivo aparece como No establecido. Cree, en el servidor FILES-01, los directorios
siguientes con las características asociadas:
Directorio a crear: E:\Plantillas
Nombre de recurso compartido: Plantillas
Permisos de recurso compartido: svc-adrms (Lectura y Escritura)
Directorio a crear: E:\Compartir
Nombre de recurso compartido: Compartir
Permisos de recurso compartido: Todos (Lectura y Escritura)
Paso 12: en la consola de administración de Consola de servicios AD RMS, haga clic en Cambiar
la ubicación del archivo de plantillas de directiva de derechos distribuidas:
Paso 13: marque la opción Habilitar exportación y, a continuación, especifique la ubicación de

las plantillas escribiendo \\FILES-01\Plantillas. A continuación, haga clic en Aceptar:
Paso 14: la plantilla de directiva de derechos distribuidos creada previamente aparece, ahora, en
la carpeta E:\Plantillas del servidor FILES-01:
7. Crear una directiva de exclusión
Este taller permite crear una directiva de exclusión de aplicación para prohibir que se pueda consultar
el contenido protegido por AD RMS mediante versiones de Word obsoletas. Solo las versiones de
Word Office 2010 y 365 estarán aceptadas.
Infonovice.priv y a continuación, en el Administrador del servidor, haga clic en Herramientas y
Paso 2: despliegue el árbol de la consola y seleccione Aplicaciones en el nodo Directivas de

exclusión.
Paso 3: en el menú Acciones, haga clic en Habilitar exclusión de aplicaciones.
Paso 4: en el menú Acciones, haga clic en Excluir aplicación.
Paso 5: en la ventana Excluir aplicación, escriba la siguiente información y, a continuación, haga

clic en Finalizar:
Nombre del archivo de aplicación: WINWORD.EXE
Versión mínima: 14.0.0.0
Versión máxima: 15.0.0.0

Paso 6: la exclusión de aplicaciones aparece, ahora, en la consola de administración de Consola
de servicios AD RMS:
8. Proteger el contenido
Este taller permite crear un documento Word desde el pack Office 2010 y protegerlo antes de enviarlo
a otros usuarios. Una vez securizado el documento, se debe realizar una prueba para confirmar que
los usuarios del departamento de Marketing solo tienen derechos de lectura en el documento.
Paso 1: inicie una sesión en el equipo CLIENT1 con la cuenta de usuario Juan Dupont (nombre
de usuario: jdupont, contraseña: P@ssw0rd).
Paso 2: vaya al escritorio del usuario y cree un nuevo documento Word

llamadoConfidencial.docx.
Paso 3: abra el documento Word Confidencial.docx y escriba el texto siguiente: "Documento de

Recursos Humanos".
Paso 4: haga clic en la pestaña Archivo del documento Word y, a continuación, vaya a la
secciónInformación. En la sección Permisos haga clic en Proteger documento, seleccione a
continuaciónRestringir permisos por personas y haga clic en Administrar credenciales:
Paso 5: en primer lugar, la aplicación Microsoft Word contacta con los servicios de dominio de
Active Directory para recuperar la URL del clúster AD RMS:
Paso 6: a continuación, se solicita al usuario sus credenciales de dominio INFONOVICE.priv.

Escriba el nombre de usuario jdupont y la contraseña P@ssw0rd. Marque la opción Recordar mis
credenciales y haga clic en Aceptar.
Paso 7: la aplicación verifica los datos de conexión proporcionados, para verificar que sus
credenciales están autorizadas para acceder a los servicios AD RMS:
Paso 8: en la ventana Seleccionar características, haga clic en Aceptar:
Paso 9: en la ventana Permiso, marque la opción Restringir el acceso a documento. En la

sección Leer escriba la dirección de correo electrónico del usuario Marcos Lablanca, perteneciente
al departamento de MARKETING (mlablanca@infonovice.priv), y haga clic en Aceptar:
Paso 10: el documento Confidencial.docx está en adelante securizado. Guarde el archivo en la
dirección siguiente \\FILES-01\Compartir y, a continuación, cierre la sesión del usuario jdupont:
Paso 11: inicie una sesión en el equipo CLIENT1 con la cuenta de usuario Marcos
Lablanca(nombre de usuario: mlablanca, contraseña: P@ssw0rd).
Paso 12: abra el archivo \\FILES-01\Compartir\Confidencial.docx.
Paso 13: introduzca las credenciales de conexión de la cuenta mlablanca, marque la

opciónRecordar mis credenciales y haga clic en Aceptar:
Paso 14: la aplicación Microsoft Word verifica los datos proporcionados. Marque la opción No
volver a mostrar este mensaje y haga clic en Aceptar:
Paso 15: una vez abierto el documento, intente modificar el contenido. Haga clic con el botón
derecho en la página para verificar que el conjunto de las opciones de modificación o de copia
están sombreadas:
Paso 16: haga clic en Archivo para confirmar que las opciones Guardar, Guardar
como eImprimir están deshabilitadas:
Paso 17: haga clic en Proteger documento y, a continuación, en Ver permisos para confirmar
que solo están habilitadas las opciones de lectura mediante un programa:
Paso 18: transfiera el archivo Confidencial.docx al equipo CLIENT3 del dominio Oxyfilm.local, y abra
el documento después de iniciar sesión con una cuenta de administrador del dominio
Oxyfilm.local.
Paso 19: acepte el certificado presentado por la URL del clúster AD RMS y, a continuación, haga
clic en Sí para aceptar la verificación de las credenciales. El contenido no estará accesible porque
las credenciales de la cuenta de usuario proporcionada no forman parte de un dominio aprobado
por el clúster AD RMS del dominio Infonovice.priv. Haga clic en No para no utilizar otro juego de
credenciales:
Para que los usuarios de otro dominio puedan acceder al contenido protegido por AD RMS, hay
que crear una directiva de confianza para aprobar al dominio que alberga a los usuarios.
A lo largo de este capítulo, hemos visto todos los aspectos relativos a los servicios de gestión de
derechos de Active Directory con la implementación del rol de servidor AD RMS en Microsoft Windows
Server 2012 R2. Podría resumirse de la manera siguiente:
AD RMS constituye un medio excelente para proteger el contenido de los datos generados en
una organización implementando una tecnología de gestión de derechos digitales como lo haría
un DRM para el contenido musical.
AD RMS es una extensión de los permisos NTFS y permite proteger la integridad de los datos.
Su implementación permite prohibir, a aquellos usuarios con acceso al contenido, que lo copien,
impriman o incluso que lo transfieran.
AD RMS protege los documentos mediante un cifrado basado en un certificado y una licencia de
uso. Cualquier persona que desee leer un documento protegido por la infraestructura de
gestión de derechos de Active Directory debe contar con un cliente AD RMS actualizado, un
certificado de cuenta de derechos así como una licencia de uso.
Una infraestructura AD RMS debe configurarse para que las propias aplicaciones permitan
proteger el contenido.
Los equipos cliente que ejecuten Windows XP deben contar con al menos el Service Pack 2
para disponer del cliente AD RMS.
Por defecto, los servicios web de AD RMS escuchan en el puerto 80 de los servicios IIS. En un
entorno de producción, es preferible implementar un acceso SSL HTTPS utilizando el puerto
443.
Una infraestructura AD RMS es compleja y está basada en varias tecnologías como: AD DS, AD
FS, AD CS.
Para extender las características de los servicios AD RMS hacia el exterior de la organización,
hay que crear una URL de clúster Extranet.
Para aprobar otras infraestructuras AD RMS, hay que crear una directiva de confianza y, a
continuación, intercambiar los certificados de licencia de los servidores.
preguntas.
1. Preguntas
1 ¿Para qué sirve la clave de cifrado del clúster AD RMS?
2 ¿Qué es una licencia de publicación?
3 ¿Qué es una licencia de uso?
4 ¿Qué es un clúster raíz?
5 ¿Cuántos clústeres AD RMS pueden implementarse, como máximo, en un bosque Active

Directory ?
6 ¿Cuál es la utilidad del grupo superusuarios?
2. Resultados
punto.
3. Respuestas
1 ¿Para qué sirve la clave de cifrado del clúster AD RMS?
La clave de cifrado del clúster AD RMS se genera durante la instalación del primer servidor del
clúster raíz. Cada servidor que necesite unirse al clúster raíz debe presentar esta clave de cifrado.
2 ¿Qué es una licencia de publicación?
Cuando un usuario protege el contenido de uno de sus archivos, el clúster asigna al documento
una licencia de publicación que define los permisos del documento.
3 ¿Qué es una licencia de uso?
Cuando un usuario autorizado intenta acceder al contenido protegido, el clúster proporciona una
licencia de uso que permite abrir el archivo.
4 ¿Qué es un clúster raíz?
Un clúster raíz de AD RMS representa un conjunto de servidores que ejecutan el rol de servidor AD
RMS. Los servidores pueden unirse mediante una URL de clúster para responder a las peticiones de
licencias de uso y gestión de certificados.
5 ¿Cuántos clústeres AD RMS pueden implementarse, como máximo, en un bosque Active

Directory?
Solo puede existir un único clúster AD RMS en un bosque Active Directory.
6 ¿Cuál es la utilidad del grupo superusuarios?
Los integrantes del grupo superusuarios reciben el conjunto de licencias propietarias para poder
descifrar todo tipo de contenido protegido por la infraestructura AD RMS.
Tener conocimientos básicos de la administración de Windows Server 2012 R2.
Contar con nociones sobre la gestión de servicios de dominio Active Directory.
Contar con nociones sobre la gestión de relaciones de confianza de Active Directory.
2. Objetivos
Comprender la utilidad de los servicios de federación de Active Directory.
Saber preparar una infraestructura de red antes de desplegar AD FS.
Saber instalar y configurar los servicios de federación de Active Directory.

Servicios de federación
Trabajar en un entorno Windows compuesto de una infraestructura de múltiples dominios y de varios
bosques requiere crear múltiples relaciones de confianza. Cuando se trata de trabajar con un
asociado que posee varios bosques, la tarea puede resultar más complicada que lo previsto por el
administrador encargado de crear el conjunto de relaciones de confianza necesarias para compartir
los recursos entre varias entidades. Si las diferentes organizaciones se encuentran separadas entre
sí por un vínculo WAN, los equipos de red deben comenzar un complicado proyecto de apertura de
flujos de datos, necesario para el correcto funcionamiento del tráfico vinculado a Active Directory.
Estos métodos no proporcionan un nivel de seguridad satisfactorio, ya que los controladores de
dominio internos no deben estar unidos directamente con el exterior, por medio de un canal de
comunicación de tipo NAT (Network Address Translation). En un mundo ideal, los servicios de su
organización que pueden ser consultados desde el exterior deben situarse en un entorno de red o
perímetro llamado "DMZ" (DeMilitarized Zone). El uso de una red perimetral aporta un nivel de
seguridad adicional y protege de esta forma sus recursos de un potencial acceso directo a los
servidores clave de su infraestructura informática.
Para aportar a los administradores una mayor flexibilidad para la gestión de las relaciones de
confianza entre asociados u otros servicios en línea, Microsoft ha implementado en su sistema
operativo Windows Server 2012 R2 los servicios de federación de Active Directory. La tecnología
existe desde Windows Server 2003 R2 pero, a partir de Windows Server 2008, los servicios de
federación de Active Directory se presentan como un rol de servidor llamado AD FS (Active Directory
Federation Services).
1. Presentación de AD FS
Active Directory Federation Services es un rol de servidor que permite extender la gestión de la
autenticación al exterior de su red empresarial. La implementación de esta tecnología no requiere la
apertura de los diferentes canales de red empleados por el tráfico de los servicios de dominio de
Active Directory, sino que simplemente se conforma con el uso de comunicaciones cifradas a través
del protocolo HTTPS (puerto generalmente abierto previamente en el firewall de una infraestructura
que ya publica servicios web o de mensajería Webmail). Los servicios de federación proporcionados
por el rol de servidor AD FS permite obtener una única autenticación (SSO: Single Sign On) en las
aplicaciones de tipo Web (Web SSO). No es necesario trabajar con varias organizaciones para
implementar AD FS. También podemos utilizar AD FS dentro de una misma organización, o entre dos
bosques que posean relaciones de confianza entre sí. AD FS en Windows Server 2012 R2 se basa
en la versión AD FS 3.0 y Microsoft ha agregado comandos de gestión PowerShell adicionales así
como una integración con el control de acceso dinámico.
a. Funcionamiento de AD FS
El rol de servidor Active Directory Federation Services requiere la instalación de una

infraestructura compleja. Ya que las comunicaciones están securizadas empleando un cifrado
basado en certificados, la infraestructura interna de su organización puede necesitar el uso de los
servicios de certificados AD CS.
AD FS permite autorizar a los usuarios de sus asociados a acceder a sus recursos. Cuando un
usuario intenta acceder a uno de sus recursos contenido dentro del perímetro de publicación, los
servicios de federación efectúan un proceso de validación automático utilizando la información de
conexión introducida y la información de autenticación del usuario que previamente ha abierto una
sesión en su dominio de origen (análisis del token de acceso Windows). De esta forma, la
infraestructura AD FS comunica con los servicios de dominio AD DS internos o los de sus asociados.
Esto permite asegurar que las credenciales proporcionadas son válidas antes de presentar y
autorizar el acceso al recurso solicitado. Si uno de sus asociados no cuenta con el directorio AD DS,
los servicios de federación pueden, también, trabajar de manera conjunta con el rol de servidor AD
LDS (Active Directory Lightweight Directory Services), que es el equivalente a un servicio de
directorio más ligero que los servicios de directorio de AD DS. Mediante este proceso de
autenticación, los usuarios de cada organización federada solo tienen la necesidad de autenticarse
durante el inicio de sesión de su equipo cliente para utilizar a continuación una aplicación web sin
tener que identificarse de nuevo (sin necesidad de introducir el nombre de usuario y la
contraseña).
AD FS es compatible con una extensa gama de servicios y aplicaciones. Encontramos, en particular,

AD FS en las implementaciones siguientes:
Servicios Web (sitios web, Extranet, Webmail, etc.)
Servicios AD RMS
Servicios Cloud (ejemplo de Cloud Azure de Microsoft)
Servicios Citrix
Para trabajar con otras organizaciones que utilicen a su vez servicios de federación y servicios de
dominio Active Directory, los administradores a cargo de la implementación de AD FS deben crear
relaciones de confianza federadas.
No hay que confundir las relaciones de confianza (que hacen referencia a la relación de
confianza tradicional entre los bosques de Active Directory) con las relaciones de confianza de
federación (que hacen referencia a una relación de confianza federada entre dos bosques de
Active Directory).
La creación de una relación de confianza de federación requiere especificar claramente los

elementos siguientes:
Los recursos accesibles
Los usuarios autorizados
Dado que la autenticación de los usuarios está basada, en parte, en los token de acceso
Windows, la sincronización horaria de los equipos de la infraestructura juega un rol importante. El
emulador PDC de cada controlador de dominio tiene la función de sincronizar la hora de los
equipos correspondientes. Sin embargo, si trabajamos con diferentes organizaciones que
gestionan sus propios directorios AD DS, no es sencillo gestionar estos datos horarios. Por este
motivo, Microsoft recomienda a todas las organizaciones basar su sincronización horaria en
servidores externos, utilizando el protocolo NTP (Network Time Protocol).
Cuando un usuario se autentica en una aplicación compatible con AD FS, el navegador web crea
una cookie local, permitiendo asi al usuario autenticarse en SSO más rápidamente.
b. Administración de AD FS
La administración del rol de servidor AD FS se realiza a través de un complemento situado en la

siguiente ubicación: %windir%\ADFS\Microsoft.IdentityServer.msc
El asistente de instalación del rol de servidor AD FS instala a su vez el servicio Active Directory
Federation Services:
Este servicio se encuentra detenido por defecto. Primero hay que configurar los servicios de
federación empleando el asistente de la consola de administración AD FS para poder arrancar el
servicio.
Al añadir el rol de servidor AD FS se instalan también los servicios Web (IIS) con la
característicaAutenticación de asignaciones de certificado de cliente.
El asistente de instalación ofrece dos tipos de instalación de los servicios de federación. Es posible
realizar los siguientes tipos de instalación:
Instalación de un servidor independiente: esta opción solo debe favorecerse en

infraestructuras de pequeña envergadura o entornos de prueba porque no ofrece alta
disponibilidad. Seleccionando esta opción, no es posible crear una granja de servidores AD
FS.
Instalación en una granja de servidores: esta opción permite dotar de alta disponibilidad a
los servicios de federación, además de un sistema de equilibrio de carga de los servidores
AD FS.
Cuando los servicios de federación se configuran desde la consola de Administración AD FS el árbol

aparece de la siguiente forma:
Servicio:
Extremos
Certificados
Descripciones de notificaciones
Relaciones de confianza:
Confianzas de proveedores de notificaciones
Veracidades de usuarios de confianza
Almacenes de atributos
2. Notificaciones
Las notificaciones contienen información específica acerca de un usuario o un equipo que se
autentica en una aplicación compatible con AD FS.
Cuando un usuario realiza una solicitud de acceso a una aplicación Web, el directorio AD DS que
efectúa la autenticación puede proporcionar las notificaciones solicitadas a un servidor de federación
que transmite, a su vez, los datos a la aplicación.
AD FS soporta tres tipos de notificaciones:
Notificaciones de usuarios: este tipo de notificación es relativo a los atributos del usuario
que puede presentarse a un servidor de federación. El atributo UPN (User Principal Name)
representa el atributo con mayor prioridad. Las direcciones de correo electrónico se utiliza,
también como parámetros de notificación de usuario.
Notificaciones de grupo: las notificaciones pueden estar basadas en la pertenencia a grupos

de usuarios.
Notificaciones personalizadas: las notificaciones personalizadas permiten definir atributos

no convencionales o específicos vinculados a un usuario. Algunos atributos importantes como
la UPN o la dirección de correo electrónico pueden ser múltiples, o uno solo de entre estos
tipos de atributos puede tenerse en cuenta durante una notificación de identidad. Por esta
razón las UPN o las direcciones de correo electrónico pueden configurarse como notificaciones
personalizadas.
3. Infraestructura AD FS
Una infraestructura AD FS puede complicarse muy rápidamente en función del número de asociados
que requieran acceso a los recursos de la organización. Por este motivo, resulta muy importante
conocer bien los diferentes componentes de una infraestructura AD DS.
a. Infraestructura
Una infraestructura AD FS entre dos asociados que permita un acceso a las aplicaciones Web
externas se presenta según el esquema siguiente:
El proceso de autenticación SSO en un servidor Web que hospeda aplicaciones compatibles con AD
FS es el siguiente:
1. Un usuario miembro de la asociación AD FS realiza una solicitud de acceso a un

sitio web externo mediante una URL.
2. Un agente ubicado en el servidor Web se encarga de verificar los datos

proporcionados transmitiendo una solicitud a un servidor proxy de federación de
recursos.
3. Empleando las notificaciones proporcionadas por la autenticación del usuario en

su dominio de origen, el servidor proxy AD FS del entorno correspondiente que
contenga los recursos transmite las notificaciones recogidas a un servidor AD FS
interno al dominio de los recursos.
4. Si el usuario no existe en el directorio Active Directory del dominio de los

recursos, el servidor AD FS del dominio de los recursos contacta entonces con el
directorio Active Directory del dominio de la cuenta que envía la solicitud al
destino del servidor proxy AD FS del dominio de los recursos. El servidor proxy
AD FS del dominio de los recursos transfiere la petición al servidor proxy AD FS
del dominio de cuentas para contactar con el servidor AD FS del dominio de
cuentas.
5. El servidor AD FS del dominio de cuentas que está conectado al directorio Active

Directory puede ahora verificar las notificaciones del usuario, al igual que sus
derechos de acceso.
6. Una vez validadas las notificaciones de usuario, el servidor AD FS de cuentas

genera un token de seguridad que contiene las notificaciones del usuario así
como un certificado digital del servidor AD FS de cuentas.
7. El servidor AD FS de cuentas responde al servidor AD FS de recursos empleando

una petición que contiene el token de seguridad. La comunicación entre los dos
asociados de federación pasa nuevamente a través de los servidores proxy de
federación.
8. El servidor AD FS de recursos extrae la información del token de seguridad para

evaluar las notificaciones del usuario.
9. Se genera un nuevo token de seguridad y se presenta al servidor web.
10. El navegador web crea una cookie local para que el usuario pueda volver a
conectarse al sitio Web con SSO.
b. Componentes
Una infraestructura AD FS posee los siguientes componentes:
Servidores de federación: los servidores de federación poseen el rol del servidor AD FS.
Encontramos generalmente un servidor de federación en el dominio que alberga los
recursos y otro en el dominio que alberga las cuentas de usuario.
Proxys de servidor de federación: los proxys de servidor de federación poseen, además,

el rol AD DS pero están ubicados en la red perimetral para reenviar a los servidores de
federación ubicados en la red interna. Encontramos también los proxys de servidores de
federación respectivamente en las redes perimetrales de los dominios de cuentas y los
dominios de recursos.
Las aplicaciones habilitadas para AD FS: las aplicaciones habilitadas para AD FS

representan las aplicaciones albergadas en los servidores Web.
Los controladores de dominio AD DS: los controladores de dominio permiten autenticar a

los usuarios y asignarles tókens de seguridad. Por lo general, encontramos controladores
de dominio en los dominios de cuentas y los dominios de recursos. Si una organización no
utiliza los servicios de AD DS, se puede utilizar a su vez una instancia de AD LDS para
administrar la correspondencia de las cuentas de usuario.
Los clientes: los clientes son los usuarios que desean acceder a las aplicaciones habilitadas
para AD FS a través de su equipo cliente. Una vez autenticados en el dominio AD DS de su
organización, pueden acceder a las aplicaciones Web externas a su organización y
habilitadas para AD FS sin tener que volver a introducir sus credenciales de conexión.
Las notificaciones: las notificaciones pueden ser de varios tipos. Pueden ser notificaciones
de identidad, de proveedor, de grupo, etc. Las notificaciones contienen por ejemplo, el
conjunto de datos vinculados al objeto de usuario o equipo.
Los certificados: la infraestructura AD FS emplea certificados digitales que pueden emitirse

mediante una entidad de certificación interna. Los servicios de certificados AD CS pueden
formar parte integral de una infraestructura AD FS. El uso de certificados emitidos por una
entidad de certificación interna obliga a cada parte a aprobar estos certificados emitidos por
la entidad interna.
Los almacenes de atributos: permiten almacenar la información de notificaciones de los

usuarios.
Las veracidades de usuarios de confianza: son los servidores de federación que reciben
los tokens de seguridad (tokens) de los usuarios externos a partir de un proveedor de
notificaciones aprobado. El servidor de federación acepta las notificaciones proporcionadas
y genera nuevos tokens de seguridad que puede utilizar el servidor Web para autorizar a
los usuarios remotos.
4. Instalar y configurar AD FS
La instalación de los servicios de federación Active Directory requiere el conocimiento de las
siguientes recomendaciones y requisitos previos:
La instalación del rol de servidor AD FS no requiere forzosamente permisos de administración

en el dominio Active Directory correspondiente. Es posible instalar este rol de servidor en un
servidor miembro con permisos de administrador local.
Aunque sea práctico en un entorno de pruebas, no es recomendable instalar el rol de

servidor AD FS en un controlador de dominio. Si tiene la posibilidad, es muy recomendable
utilizar un servidor miembro dedicado.
Los controladores de dominio deben configurarse en sistemas operativos Windows Server

2003 Service Pack 1 como mínimo.
Los servidores AD FS deben pertenecer a un dominio AD DS mientras que los proxys de

servidores AD FS no tienen que estar, necesariamente, integrados en un dominio.
AD FS soporta los almacenes de atributos siguientes:
AD DS
AD LDS
ADAM
Microsoft SQL 2005 y superiores
AD FS puede realizar las funciones siguientes:
Proveedor de notificación
Proxy de servidor de federación
Usuario de confianza
El asistente de configuración de los servicios de federación AD FS realiza las acciones siguientes:

Trabajos prácticos
La empresa INFONOVICE desea implementar los servicios de federación de Microsoft para trabajar con
su nuevo asociado OXYFILM.
Para responder a esta necesidad, se le pide implementar la tecnología AD FS para extender las
funcionalidades de los componentes AD RMS internos y obtener un acceso Web SSO para los servicios
Web de la empresa.
CS-03: Entidad de certificación emisora (CA empresarial), Infonovice.priv
FILES-01: Servidor de archivos, AD RMS, AD FS, Infonovice.priv
Particiones: C:\, E:\ (50 GB)
FS-01: Servidor de archivos, Proxy AD FS, Infonovice.priv
CLIENT1: Cliente DNS y DHCP, Pack Office 2010, Infonovice.priv
DC-05: Controlador de dominio oxyfilm.local, servidor DNS, AD CS (CA empresarial emisora)
1. Preparar el despliegue AD FS
Este taller permite preparar la instalación del rol de servidor AD FS.
Infonovice.priv en el Administrador del servidor, haga clic en Herramientas y, a continuación,
enDNS.
Paso 2: despliegue el árbol de la consola , haga clic con el botón derecho en Reenviadores
Paso 3: en la ventana Nuevo reenviador condicional, escriba oxyfilm.local en el

Paso 4: inicie una sesión en el servidor DC-05 con una cuenta de administrador del
dominioOxyfilm.local y, a continuación, en el Administrador del servidor, haga clic
en Herramientas y enDNS.
Paso 6: en la ventana Nuevo reenviador condicional, escriba infonovice.local en el

Paso 7: verifique la sincronización horaria de los dos controladores de dominio y los equipos
integrantes del dominio. El conjunto de los equipos de la infraestructura debe estar
perfectamente sincronizado.
Paso 8: acceda al servidor FILES-01 y, desde el Administrador del servidor, haga clic
enHerramientas y, a continuación, en Administrador de Internet Information Services (IIS).
Paso 9: en el árbol de la consola, haga clic en el nombre del servidor y, a continuación, en la

parte central, haga doble clic en Certificados de servidor.
Paso 10: en la parte derecha, haga clic en Crear de certificado de dominio.
Paso 11: en la ventana Solicitar certificado, escriba la siguiente información y, a continuación,

Nombre común: FILES-01.infonovice.priv
Unidad organizativa: AD FS
Estado o provincia: Madrid
País o región: ES
Paso 12: en el paso Entidad de certificación en línea, haga clic en Seleccionar para indicar la
entidad de certificación Infonovice-Root-CA (hospedada en el servidor CS-03, que debe instalarse
y configurarse según los requisitos previos del taller). Escriba FILES-01.infonovice.priv en el
campoNombre descriptivo y haga clic en Finalizar:
Paso 13: en la consola Administrador de Internet Information Services (IIS), despliegue el
árbol de la consola para seleccionar el sitio Default Web Site. En la parte derecha, haga clic
enEnlaces.
Paso 14: en la ventana Enlaces de sitios, haga clic en Agregar.
Paso 15: en la ventana Agregar enlace de sitio, introduzca la información siguiente y haga clic
en Aceptar:
Tipo: https
Dirección IP: Todas las no asignadas
Puerto: 443
Nombre de host: FILES-01.infonovice.priv
Certificado SSL: FILES-01.infonovice.priv

Paso 16: en la ventana Enlaces de sitios, haga clic en Cerrar y cierre la ventana
delAdministrador de Internet Information Services (IIS).
Paso 17: acceda al servidor DC-01 y navegue a la carpeta \\DC-05.oxyfilm.local\CertEnroll. A

continuación, copie el archivo DC-05.oxyfilm.local_Oxyfilm-Root-CA.crt en el escritorio
Windows.
Paso 18: en el Administrador del servidor, haga clic en Herramientas y, a continuación,

Paso 19: despliegue el árbol de la consola para editar el objeto de directiva de

grupoDefault Domain Policy.
Paso 20: en la ventana Editor de administración de directivas de grupo, despliegue el árbol de

la consola para seleccionar el contenedor siguiente:
Configuración del equipo - Directivas - Configuración de Windows - Configuración de

seguridad - Directivas de clave pública - Entidades de certificación raíz de confianza
Paso 23: en el paso Archivo para importar, haga clic en Examinar para especificar el archivoDC-
05.oxyfilm.local_Oxyfilm-Root-CA.crt, y haga clic en Siguiente.
Paso 24: en el paso Almacén de certificados, haga clic en Siguiente.
Paso 25: en el paso Finalización del Asistente para importar certificados, haga clic
enFinalizar.
Paso 26: acceda al servidor DC-05 y navegue a la carpeta \\DC-03.oxyfilm.local\CertEnroll. A

continuación, copie el archivo DC-03.oxyfilm.local_Oxyfilm-Root-CA.crt en el escritorio
Windows.

Paso 28: despliegue el árbol de la consola para editar el objeto de directiva de

grupoDefault Domain Policy.
Paso 29: en la ventana Editor de administración de directivas de grupo, despliegue el árbol de

la consola para seleccionar el contenedor siguiente:
Configuración del equipo - Directivas - Configuración de Windows - Configuración de

seguridad - Directivas de clave pública - Entidades de certificación raíz de confianza
Paso 32: en el paso Archivo para importar, haga clic en Examinar para especificar el archivoDC-
03.oxyfilm.local_Oxyfilm-Root-CA.crt, y haga clic en Siguiente.
Paso 33: en el paso Almacén de certificados, haga clic en Siguiente.
Paso 34: en el paso Finalización del Asistente para importar certificados, haga clic
enFinalizar.
Paso 35: acceda al servidor FILES-01, descargue e instale el archivo Windows Identity
Foundation SDK - Español (WindowsIdentityFoundation-SDK-3.5.msi).
2. Instalar los servidores AD FS

Este taller permite preparar la instalación del rol de servidor AD FS en los respectivos servidores de
los dominios Infonovice.priv y Oxyfilm.local.
Paso 1: inicie una sesión en el servidor FILES-01 con una cuenta de administrador del
dominioInfonovice.priv y, a continuación, en el Administrador del servidor, haga clic en Agregar
roles y características.

rolServicios de federación de Active Directory y, a continuación, haga clic en el botón Agregar
Paso 5: en el paso Servicios de federación de Active Directory (AD FS), haga clic enSiguiente.
Paso 8: en el paso Progreso de la instalación, no cierre la ventana y haga clic en Configure el

servicio de federación en este servidor.
Paso 9: en el centro de la consola AD FS, haga clic en el vínculo Asistente para configurar el
servidor de federación de AD FS:
Paso 10: en la ventana Asistente para la configuración de los Servicios de federación de

Active Directory (ADFS), dentro de la página principal, marque la opción Crear el primer
servidor de federación de una granja de servidores de federación y haga clic en Siguiente.
Paso 11: en el paso Seleccionar tipo de implementación, marque la opción Servidor de Entidad
de certificación y, a continuación, haga clic en Siguiente.
Paso 12: en el paso Nombre del servicio de federación, verifique que el certificado SSL
seleccionado es FILES-01.infonovice.priv y haga clic en Siguiente.
Paso 13: en el paso Resumen, haga clic en Siguiente.
Paso 14: en el paso Resultados, haga clic en Cerrar.
Paso 15: inicie una sesión en el equipo CLIENT1 con las credenciales del usuario Juan
Dupont (nombre de usuario: jdupont y contraseña: P@ssw0rd). Abra Internet Explorer y valide la
instalación accediendo a la siguiente URL: https://FILES-
01.infonovice.priv/federationmetadata/2007-06/federationmetadata.xml
Paso 16: repita las operaciones 1 a 14 en el servidor FS-02 del dominio Oxyfilm.local.
3. Configurar la firma de tokens

Este taller permite configurar el rol de servidor AD FS para la firma de tokens de seguridad.
Paso 1: inicie una sesión en el servidor FILES-01 con credenciales de administración del
dominioInfonovice.priv y, a continuación, abra un símbolo de sistema PowerShell.
Paso 2: escriba el comando siguiente:
set-ADFSProperties -AutoCertificateRollover $False

enAdministración de AD FS.
Paso 4: despliegue el árbol de la consola, haga clic con el botón derecho en ADFS \ Servicio \
Certificados, y haga clic en Agregar certificado de firma de token.
Paso 5: en la ventana Seguridad de Windows, seleccione el certificado llamado FILES-

01.infonovice.priv y haga clic en Aceptar.
Paso 6: en la ventana AD FS, haga clic en Sí y, a continuación, en Aceptar para ignorar los
mensajes de información.
Paso 7: en la sección Firma de token, haga clic con el botón derecho en el certificado con el
nombre de objeto CN=FILES-01.infonovice.priv y, a continuación, haga clic en Establecer como
principal.
Paso 8: en la ventana AD FS, haga clic en Sí para ignorar el mensaje informativo.
Paso 9: a continuación, elimine el segundo certificado de la sección Firma de token.
4. Configurar las notificaciones

Este taller permite configurar las reglas de notificaciones para AD FS.
Paso 1: inicie una sesión en el servidor FILES-01 con una cuenta de administrador del
dominioInfonovice.priv y, a continuación, arranque el Administrador del servidor. Haga clic
enHerramientas y, a continuación, en Administración de AD FS.
Paso 2: despliegue el árbol de la consola para seleccionar el contenedor AD FS \ Relaciones de

confianza \ Confianzas de proveedores de notificaciones. En la parte central, haga clic con el
botón derecho en Active Directory y haga clic en Editar reglas de notificación.
Paso 3: en la ventana Editar reglas de notificación para Active Directory, haga clic en Agregar
regla.
Paso 4: en el paso Seleccionar plantilla de regla, en la lista desplegable, seleccione Enviar

atributos LDAP como notificaciones y haga clic en Siguiente.
Paso 5: en el paso Configurar regla, introduzca los elementos siguientes, haga clic
en Finalizary, a continuación, en Aceptar:
Nombre de regla de notificación: Transmitir conjunto de atributos LDAP configurados
Almacén de atributos: Active Directory
Asignación de atributos LDAP a los tipos de notificación saliente:
User-Principal-Name: UPN
E-Mail-Adresses: Dirección de correo electrónico de AD FS1.x
Display-Name: Nombre
5. Instalar los proxys AD FS

Este taller permite instalar los proxys de servidor AD FS el servidor de archivos FS-01.
Paso 1: inicie una sesión en el servidor FS-01 con una cuenta de administrador del
dominioInfonovice.priv y, a continuación, en el Administrador del servidor, haga clic en Agregar

rolServicios de federación de Active Directory y, a continuación, haga clic en el botón Agregar
características. A continuación, haga clic en Siguiente.
Paso 5: en el paso Servicios de federación de Active Directory, haga clic en Siguiente.
Paso 6: en el paso Seleccionar servicios de rol, marque la opción Proxy FSP y, a continuación,
Paso 7: deje las demás opciones por defecto haciendo clic en Siguiente y, por último, haga clic
en Instalar.
A lo largo de este capítulo, hemos visto todos los aspectos relativos a los servicios de Federación de
Active Directory con la implementación del rol de servidor AD FS en Microsoft Windows Server 2012 R2.
AD FS permite extender la autenticación de un usuario más allá de su dominio de pertenencia,

para poder acceder a los recursos albergados en las infraestructuras de asociados aprobados.
AD FS es un rol de servidor integrado en el sistema operativo Windows Server 2012 R2.
AD FS utiliza el puerto de comunicaciones HTTPS combinado con el uso de certificados SSL.
El almacén de atributos debe especificarse al implementar el primer servidor AD FS para que los
demás servidores lo utilicen.
Antes de ser accesibles para los usuarios, las aplicaciones deben primero estar habilitadas
para funcionar con AD FS. Un administrador debe crear las notificaciones adecuadas que deben
presentarse a la aplicación.
AD FS permite realizar una autenticación SSO para las aplicaciones de tipo Web.
preguntas.
1. Preguntas
1 ¿Sobre qué versión de AD FS están basados los servicios de federación de Active Directory?
2 ¿Qué puerto del firewall debe estar abierto para que una infraestructura AD FS pueda
funcionar correctamente?
3 ¿Qué acciones debe realizar un administrador para agregar otros servidores AD FS a la

infraestructura durante la instalación del rol de servidor AD FS en modo servidor
independiente?
4 ¿Qué tipo de notificaciones soporta AD FS?
2. Resultados
punto.
3. Respuestas
1 ¿Sobre qué versión de AD FS están basados los servicios de federación de Active Directory?
Los servicios de federación Active Directory se basan en la versión AD FS 3.0.
2 ¿Qué puerto del firewall debe estar abierto para que una infraestructura AD FS pueda
funcionar correctamente?
Los servicios de federación Active Directory solo necesitan el puerto 443 para intercambiar
información mediante el protocolo HTTPS.
3 ¿Qué acciones debe realizar un administrador para agregar otros servidores AD FS a la

infraestructura durante la instalación del rol de servidor AD FS en modo servidor
independiente?
Si el rol de servidor AD FS está instalado como servidor independiente, no es posible agregar otros
servidores. El administrador deberá desinstalar el rol de servidor para volver a instalarlo en modo
granja de servidores.
4 ¿Qué tipo de notificaciones soporta AD FS?
AD FS soporta las notificaciones de usuario, grupo y personalizadas.

Instalar y configurar la dirección IP de un equipo cliente.
Instalar y configurar la dirección IP de dos servidores con el rol IIS.
Saber instalar una funcionalidad de servidor.
2. Objetivos
Comprender la noción de reparto de carga.
Instalar el componente NLB.
Configurar un clúster NLB.
Unir un host a un clúster NLB.

El reparto de carga
El balanceo de carga informático es una noción bien conocida que se describe con detalle en los
siguientes párrafos.
1. Presentación del reparto de carga

En el dominio de la informática, el reparto de carga (o equilibrio de carga) (Load Balancing) consiste
en implementar una tecnología que permita a los usuarios acceder a un servicio con tiempos de
acceso reducidos, una seguridad robusta y una alta disponibilidad de servidores y aplicaciones.
En comparación, imagine una sala de cine con varias películas y una sola taquilla abierta. Si varios
clientes acuden a la vez, el taquillero se verá rápidamente desbordado y los clientes estarán
descontentos por la espera para acceder al contenido deseado. En este momento el cine abrirá una
o más taquillas para repartir la carga de trabajo entre varios empleados reduciendo así el tiempo de
espera de los clientes. En este caso concreto, la alta disponibilidad se garantiza mediante la difusión
de una misma película en dos salas diferentes.
Extrapolemos este ejemplo llevándolo a una infraestructura informática. Una empresa (el cine, en
nuestro ejemplo) que posea un único servidor web (la película, en nuestro ejemplo) y que no utilice
ninguna técnica de reparto de carga se verá rápidamente saturado por un pico de utilización del
servicio por varios usuarios. La implementación de una técnica de reparto de carga consistirá en
agregar uno o varios servidores ofreciendo un contenido idéntico para que los usuarios puedan
acceder a través de un punto de acceso único (la taquilla de cine, en nuestro ejemplo). El equilibrio
de carga permite de esta forma incrementar la seguridad de un sistema de información ofreciendo
redundancia a los servidores y un acceso viable incluso en caso de fallo de uno de los servidores.
A una agrupación de servidores se le denomina una granja, pero en una solución de reparto de
carga hablaremos en concreto de un clúster. Cada servidor integrado en un clúster se representa
como un nodo del clúster. Las peticiones de los usuarios se distribuyen, de esta manera, entre los
nodos que componen el clúster.
Antes de implementar una solución de reparto de carga, debemos conocer que existen varias
tecnologías software o hardware.
a. Tecnologías existentes
Para implementar una solución de equilibrio de carga dentro de una infraestructura informática,
debemos plantearnos la pregunta de qué tecnología utilizar. Las soluciones hardware presentan
muchas más opciones de configuración y administración que las soluciones software aunque son,
sin embargo, mucho más costosas. Las soluciones software son en su mayoría fáciles de
implementar y ofrecen una excelente solución de alta disponibilidad a menor coste. Cada una de
las tecnologías disponibles estará más o menos adaptada a un servicio de su infraestructura.
Las soluciones hardware consisten en cabinas de red que registran las solicitudes
entrantes de los clientes que llegan a una dirección IP virtual para distribuirla a un host
disponible en un clúster. Hoy en día, varios fabricantes ofrecen soluciones de reparto de
carga por hardware (por ejemplo, las cabinas ALOHA de Exceliance, NetScaler de
CITRIX,ACE de CISCO, etc.).
Las soluciones software consisten en implementar funcionalidades vinculadas a un sistema

operativo, a un rol de servidor o software de terceros. Encontraremos en particular:
El reparto de carga de red o NLB (Network Load Balancing): esta solución es una
funcionalidad integrada en Windows, fácil de implementar y de administrar. El principio de
funcionamiento consiste en repartir las peticiones entrantes a través del
protocoloTCP/IP (Transmission Control Protocol/Internet Protocol) entre los servidores
disponibles de un clúster.
El DNS Round-Robin (operación por turnos): esta solución de equilibrio de carga consiste
en registrar varias direcciones IP para un mismo nombre de dominio. Mediante un
mecanismo llamado de operación por turnos, el servidor DNS atribuirá una dirección IP por
reparto (mediante aquellas presentes en la configuración del nombre de dominio
especifico) a los clientes que realicen una solicitud de resolución de ese nombre de
dominio.
El software de terceros: hoy en día, varios fabricantes ofrecen aplicaciones de reparto de

carga basadas en el mismo principio que la tecnología NLB. La mayoría son del mundo
Open Source (que debe traducirse como código abierto disponible). Encontraremos en
particular HAProxy la más conocida, o IPVS.
b. Ventajas e inconvenientes
Las soluciones hardware:
Las ventajas:
Atacando una dirección IP virtual llamada VIP, los servidores que componen el clúster
están protegidos porque el usuario no conoce directamente la dirección IP de los
servidores que componen el clúster
Alta disponibilidad
Compatibilidad con varios protocolos
Los inconvenientes:
Soluciones costosas
Se requieren a veces poseer competencias particulares, o la necesidad de contratar

personal cualificado para la administración de la aplicación, soporte del fabricante, o de
un tercero.
El reparto de carga de red (Network Load Balancing):
Las ventajas:
Fácil de implementar
Integrado en Windows
Gratuito
Atacando una dirección IP virtual llamada VIP, los servidores que componen el clúster
están protegidos porque el usuario no conoce directamente la dirección IP de los
servidores que componen el clúster.
Alta disponibilidad
Los servidores HS están automáticamente excluidos del clúster
Los inconvenientes:
Capacidad limitada a 32 nodos en un clúster (Microsoft aconseja un máximo de 8 por

clúster).
No permite verificar el estado de un servicio. Si un servicio se encuentra inactivo pero es

posible agregar el servidor host, el reparto de carga distribuirá de manera uniforme el
tráfico al servidor fuera de servicio.
DNS Round-Robin:
Las ventajas:
Fácil de implementar
Integrado en Windows
Gratuito
Los inconvenientes:
Esta solución no permite conocer el estado de un servidor. Los usuarios pueden verse
dirigidos a un servidor fuera de servicio.
El software de terceros:
Las ventajas:
Son, frecuentemente, soluciones open source, el software de terceros puede ser

gratuito. Se benefician, a su vez, de toda una comunidad de desarrolladores
garantizando de esta forma un soporte de la aplicación y actualizaciones regulares.
Alta disponibilidad
Los inconvenientes:
Si el software sufre un problema, los servidores del clúster no estarán accesibles.

El reparto de carga de red
El reparto de carga de red consiste en distribuir la carga mediante el protocolo TCP/IP. Esta tecnología
utiliza el driver nlb.sys ubicado en la siguiente carpeta: C:\Windows\System 32\Driv ers
1. Network Load Balancing

El Network Load Balancing (reparto de carga de red) es un componente integrado en Windows que
permite implementar una tecnología de reparto de carga por software. Este método lo utilizan,
principalmente, las aplicaciones web (sitios de Internet, servicios Web, FTP (File Transfer Protocol),
etc.), o los servicios Terminal Server. Para implementar esta funcionalidad, es necesario crear un
clúster de servidores y los usuarios accederán al servicio mediante una dirección IP virtual. Según el
modo de reparto de carga definido en la configuración, el conjunto de las peticiones entrantes se
distribuirá hasta el o los servidores host disponibles en el clúster. NLB funciona solamente a través
del protocolo TCP/IP y ningún otro protocolo de red debe figurar en la interfaz de red utilizada. Las
direcciones IP de los servidores integrantes del clúster NLB deberán estar configuradas de manera
estática porque el servicio DHCP (Dynamic Host Configuration Protocol) no está soportado. Esta
tecnología permite soportar hasta 32 nodos en un mismo clúster. Siguiendo las mejores prácticas de
Microsoft, no se aconseja llegar al máximo de la capacidad soportada. Para garantizar buenos
rendimientos en el sistema de equilibrio de carga de red, es preferible crear varios clústers
de 8nodos como máximo a su vez accesibles mediante un equilibrio de carga en DNS Round-Robin.
1. Petición HTTP de un usuario en la dirección IP virtual del clúster NLB.
2. El clúster redirige la petición al servidor menos cargado.
3. El servidor selecciona el acceso a la base de datos del sitio web.
4. El servidor del clúster reenvía los datos solicitados por el usuario.
2. Diferentes modos de equilibrio de carga

En una infraestructura NLB, el reparto de la carga puede trabajar según distintos modos de trabajo
que están, a su vez, adaptados a diferentes situaciones.
a. Prioritario
Este modo de equilibro de carga permite redirigir todas las peticiones entrantes a un servidor por
defecto. Dicho de otra forma, todas las peticiones de usuario se envían al servidor que tenga la
mayor prioridad del clúster. Cuando el servidor prioritario no se encuentra disponible, o no
responde, las peticiones entrantes se envían directamente al servidor que tiene una prioridad
menor. Este modo de reparto de carga no está adaptado a escenarios muy escalables porque solo
se utiliza un servidor. Para definir un nodo prioritario, basta con indicar el valor 1 en sus
parámetros de prioridad. Este número corresponde a la máxima prioridad. El segundo servidor
tendrá entonces el valor 2. Existen solo 32 niveles de prioridad porque el clúster de equilibrio de
carga solo puede gestionar 32 hosts como máximo.
Para definir este tipo de reparto de carga, basta con seleccionar la opción Un único host en las
propiedades de una regla de puerto del clúster:
b. Modo igual
Este modo de equilibrio de carga permite repartir el tráfico entrante de la misma forma en el
conjunto de los hosts disponibles en el clúster. De esta forma, cada nodo del clúster trata una
carga idéntica y puede responder eficazmente a un incremento de la carga. Cuando un host del
clúster presenta un fallo de disponibilidad, el reparto se realiza de nuevo de forma equilibrada
entre los hosts restantes.
Para definir este tipo de reparto, basta con seleccionar la opción Host múltiple en las propiedades
del clúster de equilibrio de carga, y marcar, a continuación, la opción Igual en las propiedades de
una regla de puerto asociada a cada nodo del clúster. En este modo, también podemos definir la
afinidad de las sesiones.
c. Modo manual
Este modo de equilibrio de carga permite definir incluso el porcentaje de reparto asignado a cada
nodo del clúster. Cada nodo estará configurado con un peso que definirá su carga en el clúster
NLB:
Para definir este tipo de equilibrio de carga, basta con desmarcar la opción Igual en las
propiedades de una regla de puerto asociada a cada nodo del clúster y definir de forma manual, a
continuación, la carga a tratar por cada nodo seleccionado:
3. Modos de transmisión
El conjunto de los nodos de una infraestructura de equilibrio de carga debe poseer una dirección IP
estática ubicada en una misma subred. Las tarjetas de red deben estar configuradas en
modoUnicast (monodifusión) o Multicast (multidifusión). No se soportan entornos mixtos. Todos los
hosts de un clúster deberán pues utilizar el mismo modo de transmisión:
a. Unicast - Monodifusión
Este es el modo de difusión por defecto.
Durante la implementación del clúster NLB en modo unicast, la dirección MAC (Media Access Control),
asociada a la única tarjeta de red, se desactiva y se remplaza por una dirección MAC virtual
generada automáticamente. Todos los hosts del clúster poseen entonces la misma dirección MAC,
lo cual hace imposible la comunicación entre los hosts de un mismo clúster.
En este modo de difusión, el clúster generará una dirección MAC virtual que comienza por 02-bf-
XX-XX-XX-XX:
Cuando un clúster utiliza el modo unicast, los miembros intercambian peticiones de broadcast
para indicar su pertenencia al clúster.
b. Multicast - Multidifusión
Este modo de transmisión puede utilizarse cuando un host cuenta con una o más tarjetas de red.
La primera tarjeta de red estará dedicada al tráfico del clúster NLB y la segunda a la administración
del servidor.
Cuando implementamos un clúster NLB en modo multicast, se conserva la dirección MAC (Media
Access Control) asociada a la primera tarjeta de red. La interfaz dedicada al clúster poseerá una
dirección MAC diferente en cada host, además de la dirección MAC del clúster. La segunda tarjeta
de red permitirá a cada nodo comunicarse dentro del clúster o con las otras redes.
En este modo de difusión, el clúster generará una dirección MAC virtual que comienza por 03-bf-
XX-XX-XX-XX:
c. Multidifusión IGMP
Este modo de transmisión puede utilizarse cuando un host cuenta con una o más tarjetas de red.
Combinando el modo de transmisión Multicast con IGMP (Internet Group Management Protocol), se
garantiza que el flujo de datos emitido por el clúster NLB pasará por los puertos del conmutador
dedicados a cada nodo.
En este modo de difusión, el clúster generará una dirección MAC virtual que comienza por 01-00-
XX-XX-XX-XX:
4. Afinidad del equilibrio de carga

Cuando la tecnología de equilibrio de carga se utiliza en una granja de servidores Terminal Server,
es posible configurar los parámetros de afinidad para que los usuarios se vuelvan a conectar, en
caso de caída, al servidor en el que tenían iniciada una conexión. Para utilizar los parámetros de
afinidad de sesión, hay que seleccionar el modo Host múltiple y ajustar los parámetros de afinidad.
Están disponibles los siguientes parámetros de afinidad:
Ninguno (None): todas las peticiones de un cliente se dirigen a cualquier servidor miembro
del clúster.
Sencillo (Single): todas las peticiones de un cliente se dirigen al mismo servidor después de
una primera conexión.
Red (Network): todas las peticiones de un cliente se dirigen al mismo servidor en función de
su dirección IP. Esta opción se utiliza, principalmente, cuando varios usuarios provienen de
subredes diferentes:
5. Convergencia y alta disponibilidad

En una infraestructura de equilibrio de carga de red, cada host de un clúster ejecuta una copia del
servicio o la aplicación que queremos hacer disponible a los usuarios. Para garantizar continuidad de
servicio y una alta disponibilidad del SI (sistema de información), el componente NLB utiliza una
tecnología que garantiza una alta disponibilidad y el acceso a los miembros del clúster.
Por ejemplo, cuando un host está fuera de servicio y no responde, se le excluye automáticamente
del clúster NLB y no se le dirige ninguna petición.
Para determinar si los servidores de un clúster están activos, se intercambian mensajes de latido
entre sí, también llamados Heartbeat (latido de corazón), cuyo objetivo es comprobar su correcto
funcionamiento además de su pertenencia al clúster. El envío de estos mensajes está planificado
cada cinco segundos en cada host (este período se reduce a un segundo durante las fases de
convergencia, para que el clúster establezca la lista de miembros activos). Si uno de ellos no es
capaz de emitir mensajes de latido, se considera fuera de servicio y se excluye automáticamente del
clúster NLB. Este proceso no necesita intervención humana y es perfectamente autónomo.
En el caso de excluir un host del clúster, se produce un fenómeno de convergencia. Los servidores
activos integrantes del clúster convergen para determinar el conjunto de tareas siguientes:
Elegir un nuevo host por defecto (el que tenga la propiedad más alta).
Verificar qué hosts son todavía válidos en el clúster.
Verificar que las nuevas peticiones entrantes se gestionan en los hosts disponibles del
clúster.
Durante el proceso de convergencia, el servidor previamente considerado como fuera de

servicio puede volver a unirse al clúster. Si un nuevo servidor se une al clúster, el proceso de
convergencia se producirá de nuevo para confirmar todos los hosts activos del clúster.
Es posible configurar la frecuencia de envío de los mensajes de latido en un clúster modificando una
clave del registro en cada nodo.
La clave de registro siguiente permite configurar la frecuencia del envío de los mensajes de
latido llamados Heartbeat (valor expresado en milisegundos):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WLBS\Parameters\Interface\
{GUID_INTERFACE}\Aliv eMsgPeriod (Valor por defecto: 1 seg., es decir 1000 m s en decimal):
La siguiente clave del Registro permite definir el número de mensajes de latido fallidos antes
de declarar un host como fuera de servicio:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WLBS\Parameters\Interface\
{GUID_INTERFACE}\Aliv eMsgTolerance (Valor por defecto: 5 intentos):
Trabajos prácticos
La empresa INFONOVICE desea implementar una solución de alta disponibilidad que permitirá
garantizar el acceso a los servidores web que hospedan el sitio Intranet de la empresa. El sitio
intranet lo consulta, esencialmente, el personal de la empresa y la dirección le solicita que el acceso
esté optimizado con por una solución de reparto de carga de red.
La infraestructura debe apoyarse en dos servidores web bajo IIS albergando cada uno una copia del
sitio intranet. Los dos servidores miembros del dominio Infonovice.priv deben estar integrados en un
clúster de reparto de carga de red.
NLB-01: servidor web IIS, Network Load Balancing
NLB-02: servidor web IIS, Network Load Balancing
CLIENT1: Internet Explorer 8
Para complementar la parte teórica del reparto de carga, aquí tiene algunos escenarios que le
permitirán utilizar las diferentes herramientas e implementar una infraestructura NLB. Para
establecer un laboratorio con máquinas virtuales, podemos crear una infraestructura de prueba en
la plataforma Cloud de Microsoft Azure (1 mes de evaluación
gratuito:http://www.windowsazure.com/es-es).
1. Instalar y configurar NLB

Este taller permite instalar paso a paso el componente Equilibrio de carga de red en un sistema
operativo Windows Server 2012 R2. Se abordan todas las fases de la preparación de un servidor para
el cumplimiento de las mejores prácticas y requisitos previos. Antes de instalar el componente
Equilibrio de carga de red en un servidor Windows Server 2012 R2, conviene confirmar que contamos
con permisos de administración en los servidores.
Instalar el componente NLB

Paso 1: inicie una sesión en el servidor NLB-01 con sistema operativo Windows Server 2012 R2,
con una cuenta con permisos de administrador.
Paso 2: haga clic en el icono del Administrador del servidor.
Paso 3: en la página inicial, haga clic en Agregar roles y características.
instalación, Seleccionar servidor de destino y Seleccionar roles de servidor.
Paso 5: en el paso Seleccionar características, marque la opción Equilibrio de carga de red y, a

continuación, haga clic en Agregar características en la ventana que se abre. A continuación,
Remote Server Administration Tools permite agregar la consola de administración y las

herramientas por línea de comandos adecuadas para administrar la característica NLB.
Paso 7: cuando la instalación de los componentes termine, haga clic en Cerrar.
Paso 8: la consola de administración Administrador de equilibrio de carga de red aparece

ahora, en la lista de programas disponibles del sistema operativo así como en la
carpetaHerramientas administrativas:
Para abrir la consola de administración empleando métodos abreviados, también podemos
acceder al Administrador de equilibrio de carga de red escribiendo el comando nlbmgr en una
ventana Ejecutar o en un Símbolo del sistema.
Repita los pasos 1 al 7 en el servidor NLB-02, miembro de la infraestructura de reparto de carga

de red.
Configurar las interfaces de red
Antes de configurar la infraestructura de equilibrio de carga de red hay que verificar que las
direcciones IP de cada nodo están configuradas de forma estática y no utilizando DHCP. En nuestro
caso, vamos a configurar una infraestructura NLB en modo unicast a través de una única tarjeta de
red en cada host.
Paso 1: inicie una sesión en el servidor NLB-01 con sistema operativo Windows Server 2012 R2,
Paso 2: despliegue el menú Windows de la derecha (método abreviado: C) y haga clic
enConfiguración:
Paso 3: en la sección Configuración, haga clic en Panel de control:
Paso 4: haga clic en Ver el estado y las tareas de red:

Paso 5: haga clic en Cambiar configuración del adaptador:
Paso 6: haga doble clic en la tarjeta de red a configurar:
Para acceder a esta ventana más rápidamente, podemos escribir el comando ncpa.cplen una
ventana Ejecutar o Símbolo del sistema.
Paso 7: al mostrarse el estado de la conexión de red, haga clic en Propiedades.

Paso 8: seleccione Protocolo de Internet versión 4 (TCP/IPv4) y haga clic en Propiedades:
Paso 9: marque la opción Usar la siguiente dirección IP y, a continuación, configure la dirección

IP de esta tarjeta de red con la información siguiente y haga clic en Aceptar:
Servidor DNS preferido: 192.168.0.100
Servidor DNS alternativo: 192.168.0.101
Paso 10: haga clic dos veces en Aceptar para salir de la ventana de propiedades del adaptador
de red.
Paso 11: la dirección IP de la tarjeta de red del servidor NLB-01 está ahora configurada de
forma estática. Repita los pasos 1 al 10 en el servidor NLB-02 con la información de
configuración IP siguiente:
Servidor DNS preferido: 192.168.0.100
Servidor DNS alternativo: 192.168.0.101
2. Administrar un clúster NLB

Este taller permite aprender a manejar la consola de administración Administrador de equilibrio de
carga de red así como las herramientas por línea de comandos asociadas.
Crear un clúster NLB
La creación de un clúster de equilibrio de carga de red tendrá como objetivo crear la dirección IP
virtual que será el punto de entrada de todos los nodos del clúster. En primer lugar, es preciso
verificar que la hora de cada servidor está perfectamente configurada y sincronizada.
Paso 1: inicie una sesión en el servidor NLB-01 con sistema operativo Windows Server 2012 R2
Paso 2: abra el menú Inicio y, a continuación, haga clic en Administrador de equilibrio de carga
de red.
Paso 3: en el árbol de la consola, haga clic con el botón derecho en Clústeres de equilibrio de
carga de red y haga clic en Nuevo clúster:
Paso 4: en la ventana Clúster nuevo: Conectar, escriba localhost en el campo Host y, a

continuación, haga clic en Conectar.
Paso 5: seleccione la interfaz de red que servirá para el clúster de equilibrio de carga y haga clic
en Siguiente.
Paso 6: en la ventana Clúster nuevo: Parámetros de host, deje las opciones por defecto y, a
Paso 7: en la ventana Clúster nuevo: Dirección IP del clúster, haga clic en Agregar para
especificar la dirección IP virtual del clúster de equilibrio de carga.
Paso 8: escriba la dirección IP virtual siguiente, accesible a los usuarios y, a continuación, haga
clic en Aceptar:
Paso 9: en la ventana Clúster nuevo: Direcciones IP del clúster, haga clic en Siguiente:
Paso 10: en la ventana Clúster nuevo: Parámetros de clúster, informe el campo Nombre
completo de Internet escribiendo Intranet.infonovice.priv, marque la opción Multidifusión para
definir el modo de operación del clúster y haga clic en Siguiente:
Paso 11: en la ventana Clúster nuevo: Reglas de puerto, haga clic en Finalizar.
Paso 12: el clúster de equilibrio de carga de red Intranet.infonovice.priv está, ahora, configurado
con un único host:
Es posible configurar un clúster de equilibrio de carga de red con varias direcciones IP virtuales.
También es posible aplicar una regla de puerto diferente por IP virtual del clúster.
Configurar las reglas de puerto
de red.
Paso 3: en el árbol de la consola, haga clic con el botón derecho en el nombre del clúster
(Intranet.infonovice.priv) y, a continuación, haga clic en Propiedades de clúster.
Paso 4: en la ventana Propiedades: Intranet.infonovice.priv, haga clic en la pestaña Reglas de

puerto, seleccione la regla de puerto por defecto y haga clic en Modificar.
La regla de puerto por defecto redirige todas las peticiones de usuario entrantes de ambos
protocolos, TCP y UDP, a un puerto comprendido entre 0 y 65535. La regla de afinidad por
defecto está definida para "single".
Paso 5: en la ventana Agregar o editar regla de puerto, especifique el intervalo

indicando 8080a 8080 en la sección Intervalo de puerto y, a continuación, haga clic en Aceptar.
En la configuración de la regla anterior se deduce que el conjunto de peticiones entrantes que

lleguen a la dirección IP virtual al puerto 8080 para ambos protocolos TCP o UDP, serán
automáticamente redirigidas a cualquier servidor disponible en el clúster con una afinidad de sesión
sencilla.
Con una regla de configuración de puerto es, también, posible bloquear el acceso a algunos puertos
TCP o UDP haciendo clic en la opción Deshabilitar este intervalo de puerto:
Es posible crear varias reglas de puerto, asociadas o no a diferentes IP virtuales que pertenezcan al
clúster de equilibrio de carga de red.
Configurar la afinidad
Para configurar la afinidad de una sesión hay que activar el modo de filtrado Host múltiple en una
regla de puerto y, a continuación, marcar la opción correspondiente a la afinidad de sesión deseada.
En nuestro caso, podemos seleccionar la afinidad Sencillo que permite a un usuario volver a conectar
al mismo servidor en caso de una pérdida de conexión al clúster:
Agregar un nuevo host al clúster
Para realizar esta operación, el segundo host NLB-02, debe estar configurado con una dirección
IP fija, además de tener instalada la característica del servidor Equilibrio de carga de red.
de red.
Paso 3: haga clic con el botón derecho en el nombre del clúster (Intranet.infonovice.priv) y, a
continuación, haga clic en Agregar host al clúster.
Paso 4: en la ventana Agregar host al clúster: Conectar, escriba la dirección IP o el nombre de

host del servidor NLB-02 en el campo Host y, a continuación, haga clic en Conectar (el host a
agregar debe previamente contar con la característica de servidor Equilibrio de carga de red).
Paso 5: seleccione la interfaz del host remoto a configurar para el clúster de equilibrio de carga y,
a continuación, haga clic en Siguiente:
Paso 6: en la ventana Agregar host al clúster: Parámetros de host, verifique que tiene
asignada una prioridad igual a 2 y, a continuación, haga clic en Siguiente:
El segundo nodo de un clúster tendrá por defecto un parámetro de prioridad fijado en 2, porque
el primer host de un clúster es prioritario. Esto quiere decir que tiene un parámetro de prioridad
fijado en 1.
Paso 7: en la ventana Agregar host al clúster: Reglas de puerto, haga clic en Finalizar.
Paso 8: el segundo host, NLB-02, aparece ahora en la consola de administración de equilibrio de

carga, con un estado igual a Convergido:
Clúster y línea de comandos
Es posible administrar un clúster de equilibrio de carga de red empleando el menú contextual de la

consola Administrador de equilibrio de carga de red y también es posible administrarlo o realizar
ciertas tareas de manera remota, por línea de comandos.
Para administrar un clúster de equilibrio de carga de red por línea de comandos, hay que emplear el
ejecutable NLB.exe ubicado en el directorio C:\Windows\System32 del servidor que tenga la
característica de equilibrio de carga de red:
La sintaxis de esta utilidad es la siguiente:
NLB <command> [<IP_de_clúster>[:<IP_de_host>] [remote options] ]
Por ejemplo, si deseamos desactivar de forma remota todas las peticiones entrantes en un host
específico del clúster, basta con escribir el comando siguiente:
NLB drainstop 192.168.0.202:192.168.0.115
El servidor especificado en el comando aparecerá, a continuación, con el estado Detenido:
Para conocer la lista de opciones disponibles con el ejecutable NLB, basta con escribir el comando
siguiente: NLB help
He aquí la lista de comandos disponibles con la utilidad NLB.exe:
Help
Ip2mac
Reload
Display
Query
Suspend
Resume
Start
Stop
Drainstop
Enable
Disable
Drain
Queryport
Params
3. Administrar un clúster mediante PowerShell

Para administrar un clúster de equilibrio de carga empleando comandos PowerShell, podemos utilizar
los ejemplos de línea de comandos siguientes.
Agregar una IP virtual al clúster
Paso 1: abra un símbolo del sistema PowerShell.
Paso 2: escriba el siguiente comando, que permite identificar el nombre de la interfaz de red a
configurar:
Get-NetAdapter
Paso 3: escriba el siguiente comando para agregar una IP virtual al clúster de equilibrio de carga:
Add-NlbClusterVip <IP de clúster> -InterfaceName <Nombre de la

interfaz de red> -SubMask <Máscara de subred>
Por ejemplo:
Add-NlbClusterVip 192.168.0.204 -InterfaceName Ethernet -

SubnetMask 255.255.255.0
Paso 4: abra la consola Administrador de equilibrio de carga de red, edite las propiedades del
clúster para verificar que la dirección IP virtual 192.168.0.204 se ha agregado correctamente:
Paso 5: para eliminar la dirección IP virtual agregada previamente, escriba el comando siguiente:
Remove-NlbClusterVip 192.168.0.204 -Force
Detener un nodo del clúster
Paso 1: abra un símbolo del sistema PowerShell.
Paso 2: escriba el siguiente comando para identificar el nombre de la interfaz de red que desea
configurar:
Get-NetAdapter
Paso 3: escriba el siguiente comando PowerShell para detener el host NLB-02:
Stop-NlbClusterNode -Hostname <Nombre del host a detener>
Por ejemplo:
Stop-NlbClusterNode -Hostname NLB-02
Paso 4: abra la consola Administrador de equilibrio de carga de red para verificar que el host
NLB-02 se ha detenido correctamente:
Paso 5: para arrancar un host del clúster, escriba el comando PowerShell siguiente:
Start-NlbClusterNode -Hostname NLB-02
4. Simular el reparto de carga

Este taller permite probar en condiciones reales el cambio y la gestión del reparto de carga. Para ello,
la infraestructura estará compuesta por dos servidores Web bajo IIS. Un equipo cliente deberá
conectarse a una URL de la dirección IP virtual. El objetivo será simular la carga o parada de uno de
los servidores del clúster para verificar que el clúster NLB se encarga correctamente de redirigir las
peticiones entrantes al segundo servidor disponible.
Instalar los servidores Web IIS
Este procedimiento describe cómo agregar la característica IIS en un servidor Windows 2012 R2.
con una cuenta con permisos de administrador local.
Paso 2: abra el Administrador del servidor.
Paso 3: en la página inicial, haga clic en Agregar roles y características.
Paso 5: en la ventana Seleccionar roles de servidor, marque la opción Servidor web (IIS).
Paso 6: haga clic en Agregar características.

Paso 8: haga clic en Siguiente en todos los pasos y, a continuación, haga clic en Instalar y
Cerrar.
Paso 9: navegue hasta la carpeta C:\inetpub\wwwroot y cree el archivo index.htm escribiendo

la frase siguiente Welcome to <Hostname Server> teniendo cuidado de reemplazar la cadena
<Hostname Server> por el nombre host del servidor.
Paso 10: repita los pasos 1 al 9 en el segundo servidor que compone el clúster de equilibrio de
carga (NLB-02).
Paso 11: configure los parámetros del clúster de equilibrio de carga para redefinir la regla de
puerto para un intervalo de 1 a 65535.
Paso 12: conéctese al equipo CLIENT1 y acceda a uno de los servidores IIS escribiendo la URL
con la dirección IP virtual del clúster, es decir http://192.168.0.202. Identifique a qué servidor
le ha redirigido el administrador de equilibrio de carga:
A continuación, cierre el navegador teniendo la precaución de borrar la caché.
Simular la pérdida de uno de los nodos
Ahora que los servidores de aplicación Web están configurados, vamos a simular la pérdida de uno de
los nodos del clúster para verificar que el acceso a otro servidor del clúster está siempre disponible.
de red.
Paso 2: en el ejercicio anterior, el clúster de equilibrio de carga de red ha redirigido nuestra
petición al servidor llamado NLB-01. Vamos, ahora, a simular el fallo de este último prohibiendo
cualquier conexión a este servidor. Identifique el nodo NLB-01 en la consola Administrador de
equilibrio de carga de red, contenido en el clúster previamente creado. Haga clic con el botón
derecho en el servidor y, a continuación, haga clic en Controlar host - Detener:
Paso 3: conéctese al equipo CLIENT1. Escriba de nuevo la URL de la dirección IP virtual en el

navegador Web. Compruebe que, ahora, se le ha redirigido al segundo nodo del clúster:
A lo largo de este capítulo, hemos visto todos los aspectos relativos al reparto de carga. Podría
resumirse de la manera siguiente:
Existen diferentes tecnologías de reparto de carga.
El reparto de carga de red se basa en el protocolo TCP/IP para equilibrar la carga.
Un clúster NLB se compone de varios servidores que tienen la funcionalidad Equilibrio de carga
de red.
preguntas.
1. Preguntas
1 ¿Cuántos nodos es posible gestionar, como máximo, en un clúster NLB?
16
32
64
2 En un modo de equilibrio de carga prioritario, ¿cuál de estas cifras significa que un servidor
tiene mayor prioridad?
3 ¿Cuáles son los diferentes modos de difusión de un clúster NLB?
4 ¿Cuáles son los diferentes tipos de afinidad de sesión?
5 ¿Para qué sirve una regla de puerto?
6 En un clúster NLB, ¿a partir de cuantos mensajes de latido ausentes se declara un host como
fuera de servicio?
7 ¿Qué consola de administración permite administrar un clúster NLB?
2. Resultados
punto.
3. Respuestas
1 ¿Cuántos nodos es posible gestionar, como máximo, en un clúster NLB?
16
32
64
En una infraestructura que utiliza el equilibrio de carga de Microsoft, NLB puede funcionar con
clústeres compuestos de hasta 32 hosts. Esta limitación del software es válida para cualquier
edición de Windows Server 2012 R2.
2 En un modo de equilibrio de carga prioritario, ¿cuál de estas cifras significa que un servidor
tiene mayor prioridad?
En un clúster NLB, el servidor será prioritario si su parámetro de prioridad es igual a 1. Por

consiguiente, el servidor siguiente tendrá un parámetro de prioridad configurado en 2. El parámetro
de prioridad de un servidor puede configurarse con valores comprendidos entre 1 y 32.
3 ¿Cuáles son los diferentes modos de difusión de un clúster NLB?
En un clúster NLB podemos configurar tres modos de difusión. Unicast, multicast e IGMP
multicast.
4 ¿Cuáles son los diferentes tipos de afinidad de sesión?
En un clúster NLB, es posible configurar la afinidad de sesión en los parámetros de clúster

especificando uno de los tres tipos siguientes: ninguno, sencillo o red.
5 ¿Para qué sirve una regla de puerto?
Una regla de puerto permite configurar una directiva de reparto de carga agregando un filtrado de
las peticiones entrantes basado en el protocolo de red, el puerto y la dirección IP virtual del clúster.
Mediante una regla de puerto es posible, también, configurar el modo de equilibrio de carga.
6 En un clúster NLB, ¿a partir de cuantos mensajes de latido ausentes se declara un host como
fuera de servicio?
Por defecto, se considera que un host está fuera de servicio y se le excluye de un clúster NLB si no
responde a más de 5 mensajes de latido.
7 ¿Qué consola de administración permite administrar un clúster NLB?
La consola Adm inistrador de equilibrio de carga de red permite administrar un clúster NLB
empleando una interfaz gráfica.
Saber instalar y configurar un sistema operativo Windows Server 2012 R2.
Tener nociones sobre la alta disponibilidad en una infraestructura informática.
Saber instalar y configurar un servidor web con IIS.
2. Objetivos
Saber implementar una solución de alta disponibilidad.
Saber implementar un clúster.
Comprender el funcionamiento de la conmutación por error en un clúster.
Comprender el funcionamiento de un quórum.
Saber implementar una infraestructura web altamente disponible.

Alta disponibilidad
Hoy en día, la informática ocupa un lugar importante en el trabajo cotidiano de las empresas. Una
interrupción del servicio no es asumible si se prolonga en el tiempo, por sus altos costes. Por este
motivo, resulta necesario implementar soluciones que permitan reducir o evitar cualquier interrupción
del servicio o falta de disponibilidad de una infraestructura informática.
1. Presentación de la alta disponibilidad

La alta disponibilidad de una infraestructura informática consiste en implementar una solución
hardware o software que permita garantizar un servicio continuo para los usuarios. La tasa de
disponibilidad de una infraestructura informática se expresa en porcentajes, y podemos afirmar que
una infraestructura es altamente disponible cuando su porcentaje de disponibilidad se aproxima a
umbrales superiores al 99%. La finalidad de esta implementación es garantizar un funcionamiento
de la infraestructura de 24x7. Para lograr con éxito el mejor nivel de servicio posible para los
usuarios, un administrador debe evaluar los distintos riesgos de interrupciones de servicio en la
infraestructura. La redundancia de los equipos (clústers, RAID, equilibrio de carga de red, etc.)
permite obtener una mayor tolerancia a fallos. El estudio de un plan de disponibilidad debe
realizarse junto al cliente y los usuarios finales. La definición del rango de disponibilidad de una
aplicación es muy importante porque, en función de las necesidades, los costes de implementación
serán más o menos importantes en función de la tolerancia a fallos deseada.
2. Soluciones de alta disponibilidad

Existen varias tecnologías que permiten obtener una alta disponibilidad en una infraestructura
informática. Como mencionamos en el capítulo previo, el reparto de carga representa, por ejemplo,
una solución de alta disponibilidad basada en software para una arquitectura de servidores de
aplicación. La redundancia de equipos o el emparejamiento de un sitio con otro sitio remoto son
técnicas que se utilizan con frecuencia en grandes estructuras donde la disponibilidad debe ser
impecable. El emparejamiento permite, en particular, duplicar un sitio en tiempo real con una
infraestructura remota idéntica permitiendo bascular al conjunto de usuarios al sitio remoto en caso
de siniestro del sitio principal (colapso, incendio, robo, etc.).
Clúster de conmutación por error
La tecnología de clúster de conmutación por error representa una solución de alta disponibilidad
directamente integrada en el sistema operativo Microsoft Windows Server 2012 R2 como una
funcionalidad del servidor.
1. Presentación de los clústers

En el mundo informático, un clúster representa un grupo de servidores que ejecutan la misma
instancia de una aplicación. Cada servidor representa un nodo del clúster. Es posible configurar el
clúster de servidores con varios tipos de aplicaciones que soporten el funcionamiento en
arquitecturas de clúster de servidores. Encontramos, con frecuencia, clústers de servidores Web,
servidores de mensajería Exchange, servidores SQL u otros servidores de aplicaciones (como Jboss,
WebSphere, WebLogic, etc.). La funcionalidad de clúster ya existía en las versiones anteriores del
sistema operativo Windows Server. El sistema operativo Microsoft Windows Server 2012 R2 aporta
sin embargo algunas mejoras y novedades interesantes tales como:
Soporte de 64 nodos físicos en un clúster (frente a 16 nodos en las ediciones Windows

Server 2008, y 8 nodos para las ediciones de Windows Server 2003).
Soporte para 8000 máquinas virtuales en cada clúster (frente a 1000 para Windows Server
2003 y 4000 para Windows Server 2012).
Mejor administración de los clústers.
Nuevos applets de comandos Windows PowerShell.
2. Funcionamiento de un clúster
En el funcionamiento básico de un clúster, cuando un nodo deja de responder, el clúster cambia
automáticamente el servicio enviando a los usuarios a otro nodo disponible del clúster. Un clúster se
compone de varios componentes:
Los nodos: un nodo representa un grupo de equipos que pertenecen al clúster.
Las redes: un clúster posee una red para comunicarse con los usuarios y una red diferente
para que los servidores se comuniquen entre ellos.
El almacenamiento: para la mayor parte de las aplicaciones hospedadas en los servidores

puestos en configuración de clúster, los nodos disponibles deben contar con un espacio de
almacenamiento compartido y accesible desde cada nodo del clúster. De esta forma, en caso
de pérdida de uno de los nodos del clúster, el nodo al que se bascule se hará cargo
automáticamente de la actividad con la menor interrupción del servicio.
Los clientes: representan los usuarios que acceden al servicio hospedado en el clúster.
Las aplicaciones: representan el servicio ofrecido a los usuarios.
Al igual que una infraestructura de equilibrio de carga (NLB), los nodos de un clúster se comunican
entre sí. De este modo, cada nodo conoce el estado de los otros nodos. Esta comunicación permite
a los nodos del clúster conocer en tiempo real cuáles son los nodos defectuosos, los nodos
entrantes o salientes del clúster. En lo relativo al almacenamiento, los nodos del clúster acceden al
mismo dispositivo de almacenamiento sea un volumen compartido en un disco duro, un elemento de
almacenamiento iSCSI o una cabina de almacenamiento SAN de fibra óptica. La opción de la solución
de almacenamiento se debe basar en las especificaciones de la empresa y las expectativas en
términos de rendimiento. En cuanto a las tecnologías de particionado de discos, las particiones FAT
no están soportadas. Los discos que componen el almacenamiento disponible pueden ser de tipo
MBR o GPT.
a. Redes
La implementación de un clúster de conmutación por error requiere la configuración de diferentes
redes de comunicación. Los nodos del clúster soportan los protocolos de comunicación IPv4 e IPv6.
Según las mejores prácticas, cada nodo del clúster debe contar con al menos dos tarjetas de red
para poder configurar las redes siguientes:
Una red privada: este tipo de red permite a los nodos del clúster de conmutación por error
comunicarse entre sí para intercambiar mensajes de latido llamados heartbeat en la versión
inglesa. Los mensajes de latido sirven para interrogar a los integrantes del clúster y
verificar que cada nodo está en línea. El envío de los mensajes de latido con destino a los
nodos del clúster se realiza mediante el protocolo UDP por el puerto 3343.
Una red pública: este tipo de red permite a los clientes conectarse al servicio hospedado
en los nodos del clúster.
En la instalación del clúster, una de las tarjetas de red debe identificarse como red pública y la otra
como red interna:
Si la infraestructura de conmutación solo cuenta con nodos que disponen de una sola tarjeta de
red, es posible autorizar a los clientes a conectarse mediante una red interna marcando la
opciónPermitir que los clientes se conecten a través de esta red:
Hablamos entonces de una red mixta que combina la red interna del clúster de conmutación por
error y la red pública que acepta las comunicaciones de los equipos cliente.
Si los discos que componen el almacenamiento del clúster están accesibles mediante una red
iSCSI, es muy recomendable dedicar, también, esta red para separar la red interna de la red
pública.
b. Conmutación
Para respetar un nivel de calidad de servicio óptimo, los clústeres de conmutación interrogan
permanentemente a los nodos que los componen para saber si están activos. En caso de no
obtener respuesta de un nodo activo del clúster, se le excluye automáticamente para que los
recursos conmuten a otro nodo disponible del clúster que se convierte entonces en el nodo activo.
El siguiente esquema ilustra las acciones realizadas por un clúster durante una conmutación de
recursos a otro nodo:
1. El nodo activo del clúster encuentra un problema y falla súbitamente. Se le deja

fuera de línea en el clúster.
2. Los usuarios no pueden acceder al servicio.
3. Los recursos compartidos se ponen fuera de línea.
4. Se elige un nuevo nodo según las preferencias de conmutación para convertirse

en el host activo del clúster.
5. Los recursos compartidos se ponen en línea para el nuevo nodo activo del
clúster.
6. Los usuarios acceden de nuevo al servicio.
c. Volúmenes compartidos
En la mayoría de las infraestructuras, solo un nodo del clúster alberga el servicio donde la
aplicación está disponible para los usuarios. Este servidor se conoce como servidor activo y ejecuta
localmente la aplicación con un acceso exclusivo en la ubicación de almacenamiento de los datos
del aplicativo. Los demás nodos del clúster se configuran como nodos pasivos. Cuando el nodo
activo queda fuera de servicio por un fallo, otro nodo del clúster se convierte en el nodo activo y
ejecuta a su vez la aplicación de manera local teniendo la precaución de recuperar el acceso
exclusivo al recurso compartido de los datos del aplicativo. Para gestionar los accesos
concurrentes, Microsoft ha introducido a partir de Windows Server 2008 R2 la tecnología de
volúmenes compartidos, más conocidos bajo el nombre de CSV en la versión inglesa del sistema
operativo (CSV: Cluster Shared Volumes). Los volúmenes compartidos permiten pues a los nodos
de un clúster de conmutación por error acceder simultáneamente a un mismo archivo hospedado
en una LUN del elemento de almacenamiento compartido. Los volúmenes compartidos aparecen
bajo la forma de un sistema de archivos de tipo CSVFS (Cluster Shared Volume File System) y
utilizan la tecnología de compartición SMB 3.0 (Server Message Block) para activar los flujos de
datos compartidos entre los nodos de un clúster. A diferencia de los sistemas de archivos NTFS, el
sistema de archivos CSVFS puede someterse a operaciones de mantenimiento manteniendo el
servicio en línea. Es posible, por ejemplo, ejecutar el comando de verificación del disco Check
Disk(Chkdsk.exe) sin necesidad de desmontar las particiones activas o reiniciar el sistema.
Infraestructura clásica de un clúster de conmutación por error sin CSV:

Solo el nodo activo del clúster accede al almacenamiento compartido.
Infraestructura clásica de un clúster de conmutación por error con CSV:

Todos los nodos del clúster acceden al mismo tiempo al almacenamiento compartido.
Tenga precaución, antes de crear una infraestructura utilizando volúmenes compartidos es

obligatorio configurar los discos, antes de que haya datos en ellos. Si se agrega un disco de
almacenamiento a los volúmenes compartidos, se produce la destrucción de todos los datos
existentes en el volumen. Además, no es posible añadir un disco disponible a los volúmenes
compartidos si ya se encuentra en uso por parte de alguno de los nodos del clúster.
d. Consola de administración del clúster
La implementación de esta tecnología se lleva a cabo agregando la característica Clúster de

conmutación por error. Al agregar este componente se instala el complemento Administrador de
clústeres de conmutación por error en las herramientas administrativas de Windows:
En comparación con Windows Server 2008 R2, la consola de administración conserva casi la misma
interfaz. Se han añadido a su vez comandos PowerShell adicionales para la gestión del clúster
bajo Windows Server 2012 R2 y algunas características, como la utilidad Cluster.exe, se han
eliminado en Windows Server 2012.
Al agregar la característica clúster de conmutación por error se instala también el servicio

Windows Servicio de clúster con un tipo de arranque predeterminado configurado
comoDeshabilitado hasta que se configure el clúster. Cada nodo cuenta con una copia de la
configuración del clúster de conmutación por error y el servicio de clúster permite sincronizar los
datos entre sí:
Ha aparecido, también, una nueva característica para el clúster de conmutación por error a partir
de Windows Server 2012. Es, ahora, posible actualizar el sistema operativo con parches de
Windows en cada nodo sin tener que interrumpir el servicio. Los parches (Hotfix) de Microsoft
pueden instalarse mediante el complemento Actualización compatible con clústeres (Cluster-
Aware Updating), disponible en las herramientas administrativas del sistema operativo.
e. Administración de un clúster de conmutación por error
La consola de administración Administrador de clústeres de conmutación por error permite, en

particular, realizar las acciones siguientes:
Conectarse a un clúster existente: cuando ya existe un clúster en la red, la consola de

administración permite conectarse a este clúster para administrarlo.
Crear un nuevo clúster: permite crear un clúster de conmutación por error añadiendo los
servidores que compondrán los diferentes nodos disponibles de la infraestructura de
conmutación por error.
Validar la configuración del clúster: la validación de la configuración permite verificar que

los nuevos servidores del clúster respeten las mejores prácticas de Microsoft. Solo es
posible activar un clúster si los parámetros de los servidores, de la red y del
almacenamiento superan las distintas pruebas de validación de la configuración. El paso de
validación permite verificar la configuración de un clúster existente o de una selección de
servidores.
La validación de la configuración constituye la primera etapa a verificar antes de crear un clúster de

conmutación por error. El asistente de validación de una configuración realiza una batería de
pruebas repartidas en las cuatro categorías siguientes:
Configuración del sistema:
Validar la edición de sistema operativo
Validar la opción de instalación del sistema operativo
Validar la configuración de Active Directory
Validar la misma arquitectura de procesador
Validar la versión de sistema operativo
Validar los niveles de actualización de software
Validar los niveles de Service Pack
Validar la configuración de volcado de memoria

Validar los servicios requeridos
Validar que todos los controladores están firmados
Inventario:
Almacenamiento
Sistema
Red:
Mostrar el orden de enlace de red
Validar la comunicación de red
Validar la configuración de Firewall de Windows
Validar la configuración de IP
Validar la configuración de red del clúster
Almacenamiento:
Enumerar los discos
Enumerar los discos para validar
Validar el sistema de archivos
Validar el arbitraje de disco
Validar la latencia de acceso a disco
Validar la reserva persistente de espacios de almacenamiento
Validar la reserva persistente SCSI-3
Validar la conmutación por error de disco
Validar la conmutación por error simultánea
Validar los discos basados en Microsoft MPIO
Validar los datos vitales de producto (Vital Product Data) del dispositivo SCSI
Validar los enlaces de red CSV
Validar la configuración de CSV
Validar el arbitraje múltiple

Al finalizar las pruebas de validación, podemos editar un informe en formato *.mht:
Los informes están también disponibles en la carpeta %WINDIR%\cluster\Reports:

Cuando el asistente de validación finaliza, es posible crear el clúster inmediatamente con las
máquinas que hayan sido validadas.
Cuando la configuración del clúster de conmutación por error finaliza, también es posible
mostrar un informe de configuración en formato *.mht desde el asistente de creación del
clúster.
Una vez establecida la conexión al clúster, la consola de administración permite visualizar las
tareas de administración siguientes:
Roles: permite configurar la alta disponibilidad de un rol de servidor (ejemplo de rol:

servidor de archivos, servidor DHCP, servidor de destino iSCSI, etc.).
Nodos: permite gestionar los diferentes hosts del clúster. También podemos añadir un
nuevo host al clúster o detener el servicio de clúster.
Almacenamiento:
Discos: permite administrar los discos disponibles para un clúster. La visualización indica
que nodo del clúster es propietario del espacio de almacenamiento. Cuando un nodo
queda inactivo, el quórum determina el nodo al cuál bascular (consulte la sección
siguiente).
Grupos: permite gestionar los espacios de almacenamiento disponibles para un clúster

creando un grupo de almacenamiento.
Redes: permite visualizar las redes internas o externas disponibles para el clúster de
conmutación por error.
Red de clústeres 1 y 2: permite definir qué red está dedicada a la red interna o a la red
de cliente.
Eventos de clúster: permite visualizar los registros de eventos vinculados a la actividad del
clúster de conmutación por error.
f. Quórum
En un clúster de conmutación por error, un quórum determina el número de nodos que deben
estar en línea para que el clúster pueda garantizar el servicio a los usuarios. La opción de dejar el
servicio en línea se realiza mediante un sistema de votación en el que cada nodo del clúster o
disco compartido puede dar su voto. Para que la votación sea justa, hace falta que el número de
nodos sea impar, para que haya forzosamente un voto ganador y no de igualdad. Si el número de
nodos disponibles para un voto es idéntico, un componente del clúster como un servidor de
archivos o un disco duro compartido puede agregarse como testigo para participar en el voto y de
esta forma aportar un voto decisivo. Cuando varios nodos de un clúster se encuentran
defectuosos y el voto establece la parada del servicio, la funcionalidad de clúster de conmutación
cesa de inmediato deteniendo los servicios de Windows asociados a los nodos del clúster.
Un quórum puede funcionar según varios modos. La configuración del tipo de quórum se realiza en
las propiedades del clúster, ejecutando el Asistente para configurar quórum de clúster.
Un quórum de clúster puede funcionar en los modos de configuración siguientes:
Mayoría de disco y nodo (Node and Disk Majority): en este modo de quórum, los nodos
del clúster y un disco de almacenamiento testigo pueden votar. Cuando la mayoría de los
componentes están en línea y pueden votar, el servicio se mantiene en el clúster.
Mayoría de nodo (Node Majority): en este modo de quórum, solo los nodos del clúster
pueden votar. No puede existir un componente testigo. Si más de la mitad de los
componentes están en línea para votar, el servicio se mantiene en el clúster.
Mayoría de recurso compartido de archivos y nodo (Node and File Share Majority): en
este modo de quórum, los nodos del clúster y un recurso compartido de archivos testigo
pueden votar. Cuando la mayoría de los componentes están en línea y pueden votar, el
servicio se mantiene en el clúster.
g. Instalar y configurar un clúster
La instalación de un clúster de servidores para implementar una solución de alta disponibilidad

necesita la característica de servidor Clúster de conmutación por error. Una vez instalado el
componente, la consola de administración sirve para crear el clúster. Los pasos para la creación de
un clúster de conmutación por error son los siguientes:
Disponer de permisos de administración en las máquinas destinadas a unirse al clúster.
Configurar las máquinas para dirigirse a un punto de almacenamiento compartido.
Validar los parámetros de configuración de los servidores (sistema, almacenamiento y red).
Crear el clúster mediante el asistente.
Antes de crear un clúster de conmutación por error, debemos verificar que cada nodo responde a
los requisitos previos descritos por Microsoft. Todos los servidores destinados a ser los diferentes
nodos del clúster deben poseer las características siguientes:
El mismo tipo de arquitectura de procesador (64 bits).
La misma edición del sistema operativo Windows Server 2012 R2 (Standard o Datacenter).
El mismo nivel de service pack.
El mismo nivel de parches.
El mismo protocolo de red para los adaptadores de red de cada nodo.
El mismo dominio Active Directory para todos los nodos.
El mismo rol de clúster instalado en cada nodo.
La creación del clúster requiere introducir la información siguiente en el asistente de configuración

del clúster de conmutación por error:
Introducir los servidores que componen el clúster.
Indicar el nombre NETBIOS del clúster (15 caracteres como máximo).
Indicar la dirección IP del clúster.

Una vez introducida la información, se crea el clúster y está listo para proveer un servicio a los
usuarios con alta disponibilidad.
h. Los roles
Los roles permiten configurar las aplicaciones o servicios disponibles mediante la infraestructura de
clúster de conmutación por error. Es importante identificar y especificar el tipo de servicios a
prestar en alta disponibilidad porque no todas las aplicaciones pueden funcionar con una solución
de clúster de conmutación por error. Antes de integrar un servicio o una aplicación a este tipo de
infraestructura, es necesario contactar con el fabricante para saber si la aplicación soporta este
tipo de implementación. La sección Roles de la consola del administrador de clústeres de
conmutación por error permite configurar los parámetros de alta disponibilidad para un rol de
servidor. De esta forma, es posible definir las acciones que el clúster debe realizar para restablecer
un servicio o una aplicación. Si uno de los nodos del clúster sufre un fallo (un fallo del sistema,
tarjeta de red fuera de servicio, u otros), el servicio cambia automáticamente a otro nodo
disponible. Sin embargo, si es la aplicación o el rol de servidor el que sufre el fallo, el clúster es
capaz de reiniciar automáticamente el servicio en función de los parámetros de los roles fijados
previamente en la consola de administración. Antes de agregar ciertos roles de servidor, el
asistente verifica la presencia del rol en uno de los nodos del clúster. Si el rol o servicio no existe,
entonces no es posible configurar el rol en el clúster. Existen varios roles preconfigurados para
desplegarse como servicio en clúster:
Ejemplos de roles más frecuentemente usados:
Equipo virtual
Servicio genérico
i. Optimización de los CSV
Los volúmenes compartidos de clúster (Cluster Shared Volumes) en Windows Server 2012 R2 se
benefician de ciertas mejoras a nivel de la gestión y de la compartición de recursos. En Windows
Server 2012 un nodo podía ser propietario de varios discos agregados a volúmenes compartidos.
En adelante, el clúster de conmutación por error equilibra automáticamente la propiedad de cada
nodo sobre los volúmenes compartidos para optimizar las entradas y salidas sobre los discos
(optimización de entrada/salida, escritura y lectura en los discos).
En caso de fallo de uno de los nodos del clúster, el cambio del nodo propietario del disco CSV
defectuoso a los otros nodos funcionales del clúster se realizará de forma más efectiva.
En Windows Server 2012, cada nodo poseía una instancia única del servicio "Servidor" a cargo de
administrar el conjunto del tráfico SMB entre los nodos y el recurso compartido. En Windows Server
2012 R2 cada nodo puede, sin embargo, contar con varias instancias del servicio "Servidor" que se
supervisa para mejorar la continuidad del servicio y un cambio más rápido a los otros nodos del
clúster en caso de fallo.
Para verificar el estado de funcionamiento de los discos de volumen compartidos en cada nodo,
podemos en adelante utilizar el comando PowerShell siguiente:
Get-ClusterSharedVolumeState
Trabajos prácticos
La empresa INFONOVICE desea implementar una solución de alta disponibilidad que permitirá
garantizar el acceso a los servidores web que hospedan el sitio Internet de la empresa. La
presentación del sitio web permite a los usuarios depositar allí los archivos comprimidos para ser
almacenados en un servidor de archivos. El sitio web infonovice.es lo consultan muchos internautas y
clientes potenciales, la dirección le solicita que el acceso al sitio sea redundante para que esté
accesible permanentemente, 24h/7. El servidor de archivos se basa en una plataforma accesible
mediante un almacenamiento iSCSI.
Para responder a esta necesidad, se le pide implementar una solución de clústeres de servidores
para que el sitio web pueda estar operativo en caso de fallo. La infraestructura debe basarse en dos
servidores web bajo IIS albergando cada uno una copia del sitio Internet. Los dos servidores deben
estar configurados en clúster.
CLS-01: Servidor Web IIS
Dirección de red de comunicación con los clientes: 192.168.0.116
Dirección IP de red de comunicación interna con el clúster: 172.16.0.1
Máscara de subred interna: 255.255.0.0
CLS-02: Servidor Web IIS
Dirección de red de comunicación con los clientes: 192.168.0.117
Dirección IP de red de comunicación interna con el clúster: 172.16.0.2
Máscara de subred interna: 255.255.0.0
FILES-01: Servidor de archivos iSCSI
CLIENT1: Cliente: DNS y DHCP
Requisitos previos del servidor FILES-01:

Instale el rol Servidor del destino iSCSI en el servidor FILES-01.
A continuación, cree los nuevos discos iSCSI con los parámetros siguientes desde
elAdministrador del servidor:
Volúmenes: E:\; G:\; H:\
Nombre del disco duro virtual iSCSI: CLUSTER-HDD1, CLUSTER-HDD2, CLUSTER-HDD3
Tamaño del disco duro virtual: 10 GB
Asignar el destino iSCSI: Nuevo destino iSCSI
Nombre del destino: CLUSTER-IIS
Servidores de acceso: CLS-01 & CLS-02
1. Instalar IIS en cada nodo

Paso 1: en el servidor CLS-01, abra el Administrador del servidor y haga clic en Agregar roles
y características.
Paso 2: haga clic en Siguiente para pasar las pantallas Antes de comenzar, Seleccionar tipo de
Paso 3: en la ventana Seleccionar roles de servidor, marque la opción Servidor Web (IIS).
Cuando se abra la ventana emergente Agregar características para el Servidor del destino
iSCSI, haga clic en Agregar características y en Siguiente.
Paso 4: deje las demás opciones por defecto haciendo clic en Siguiente y, a continuación, haga
clic en Instalar y Cerrar.
Paso 5: repita las operaciones 1 a 4 en el servidor CLS-02.
2. Conectar los nodos al disco iSCSI

Paso 1: en el servidor CLS-01, abra el Administrador del servidor y haga clic
en Herramientasluego en Iniciador iSCSI.
Paso 2: haga clic en Sí para iniciar el servicio Microsoft iSCSI.
Paso 3: en la pestaña Destinos de la ventana Propiedades: Iniciador iSCSI, escriba FILES-01en

el campo Destino de la sección Conexión rápida y, a continuación, haga clic en Conexión rápida.
Paso 4: en la ventana Conexión rápida, aparece un IQN en la sección Destinos detectados, que
se corresponde al destino iSCSI llamado CLUSTER-IIS. Haga clic en Listo.
Paso 5: verifique que el IQN detectado tiene un estado Conectado luego haga clic en Aceptar.
Paso 6: vuelva al Administrador del servidor y, a continuación, haga clic en la sección Servicios
de archivos y de almacenamiento, Volúmenes y discos.
Paso 7: seleccione cada disco de 10 GB, de tipo iSCSI y cuyo estado muestra Sin conexión. Haga
clic con el botón derecho encima y haga clic en Poner en línea.
Paso 8: haga clic en Sí para confirmar la puesta en línea del disco duro iSCSI.
Paso 9: cree un nuevo volumen en cada disco duro iSCSI con los parámetros siguientes y, a
continuación, haga clic en Crear:
Tamaño del volumen: 9,97 GB
Letra de unidad o carpeta: E:\, F:\, G:\
Etiqueta del volumen: Nuevo volumen
Sistema de archivos: NTFS
Tamaño de la unidad de asignación: Predeterminado
3. Crear un clúster de servidores

Paso 1: en el servidor CLS-01, abra el Administrador del servidor y haga clic en Agregar roles
y características.
Paso 3: en el paso Seleccionar características, marque la opción Clúster de conmutación por

error y, a continuación, haga clic en Agregar características cuando se muestre la segunda
ventana. Haga clic en Siguiente y, a continuación, en Instalar. Cuando la instalación de la
característica haya terminado, haga clic en Cerrar:
Paso 5: abra la consola Administrador del servidor en el servidor CLS-01, haga clic
enHerramientas y, a continuación, en Administración de clústeres de conmutación por error.
Paso 6: en el menú Acciones, haga clic en Validar configuración.
Paso 8: en el paso Seleccionar servidores o un clúster, haga clic en Examinar, introduzca los
nombres de los servidores a verificar (CLS-01; CLS-02), separándolos por un punto y coma y, a
continuación, haga clic en Aceptar.
Paso 9: una vez seleccionados los servidores a verificar, haga clic en Siguiente:
Paso 10: en el paso Opciones de pruebas del asistente, marque la opción Ejecutar todas las
pruebas y haga clic en Siguiente.
Paso 11: en el paso Confirmación, haga clic en Siguiente.
Paso 12: cuando terminen las pruebas, verifique que el resultado global valida que la
configuración de la infraestructura seleccionada está adaptada para configurar un clúster.
Verifique que la opción Crear el clúster ahora con los nodos validados está marcada y, a
continuación, haga clic en Finalizar:
Paso 13: en el paso Antes de comenzar de la ventana Asistente para crear clúster, haga clic
enSiguiente.
Paso 14: en el paso Punto de acceso para administrar el clúster, escriba CLUSTER-IIS en el
campo Nombre del clúster y, a continuación, indique la dirección IP 192.168.0.200 en el
campoDirección. A continuación, haga clic en Siguiente:
Paso 15: en el paso Confirmación, verifique que la opción Agregar todo el almacenamiento
apto al clúster se encuentra marcada y, a continuación, haga clic en Siguiente.
Paso 16: en el paso Resumen, haga clic en Finalizar. El clúster creado aparece, ahora, en la
ventana de la consola Administrador de clústeres de conmutación por error:
4. Crear un volumen compartido de clúster

Paso 1: en el servidor CLS-01, abra la consola Administrador del servidor, haga clic
enHerramientas y, a continuación, en Administrador de clústeres de conmutación por error.
Paso 2: despliegue el árbol del clúster disponible en la consola, para seleccionar CLUSTER-
IIS.infonovice.priv - Almacenamiento - Discos. Seleccione uno de los discos donde el estado
muestre Almacenamiento disponible y, a continuación, haga clic en Agregar a volúmenes
compartidos de clúster.
El disco aparece, ahora, con el estado Volumen compartido de clúster.
5. Configurar un rol de servidor

Paso 2: despliegue el árbol del clúster para seleccionar el nodo Roles. En el menú Acciones,
haga clic en Configurar rol.
Paso 4: en el paso Seleccionar rol, seleccione el rol Servicio genérico y haga clic en Siguiente.
Paso 5: en el paso Seleccionar servicio, seleccione el servicio llamado Servicio de

publicaciónWorld Wide Web y haga clic en Siguiente.
Paso 6: en el paso Punto de acceso de cliente, escriba WEBUPLOAD en el campo Nombre y, a

continuación, indique la dirección IP 192.168.0.201 en el campo Dirección. A continuación, haga
clic en Siguiente:
Paso 7: en el paso Seleccionar almacenamiento, marque la opción correspondiente a Disco de
clúster 3 y, a continuación, haga clic en Siguiente.
Paso 8: en el paso Replicar configuración del Registro, haga clic en Siguiente.
Paso 9: en el paso Confirmación, verifique los parámetros del rol a desplegar en el clúster y, a
Paso 10: en el paso Resumen, haga clic en Finalizar.
En este punto, el clúster de dos servidores está configurado para reiniciar el servicio IIS en caso de
fallo. El almacenamiento de los sitios web está configurado en el servidor CLS-01. Solo este servidor
puede tener acceso al recurso compartido por el momento.
El segundo servidor CLS-02 no tiene acceso al recurso de almacenamiento iSCSI. Solamente en caso
de producirse un error, se desconectará el recurso compartido para volver a conectarse después de la
conmutación al nodo de respaldo.
6. Simular un fallo en el clúster
Paso 2: identifique el nombre del servidor sobre el que se ejecuta el servicio proporcionado a los
usuarios y, a continuación, conéctese empleando una conexión de escritorio remoto.
Paso 3: detenga manualmente el servicio de publicación World Wide Web.
Paso 4: vaya a la consola del Administrador de clústeres de conmutación por error, despliegue
el árbol y seleccione el nodo Eventos de clúster.
Paso 5: identifique un evento de error con ID 1069, correspondiente a una parada de servicio de
publicación World Wide Web en el servidor CLS-01.
Paso 6: cambie de nuevo al servidor CLS-01 y verifique que el Servicio de publicación World
Wide Web ha reiniciado correctamente.
Paso 7: detenga físicamente el servidor CLS-01.
Paso 8: cambie al Administrador de clústeres de conmutación por error en el servidor CLS-02.

El servicio, así como el almacenamiento, deben haber cambiado automáticamente al nodo CLS-
02:
Paso 9: abra un explorador de Windows en el servidor CLS-02, el almacenamiento aparecerá

como accesible, sin el icono con un signo de interrogación.
A lo largo de este capítulo, hemos visto todos los aspectos relativos al funcionamiento del clúster de
conmutación por error y la alta disponibilidad en Windows Server 2012 R2. Podría resumirse de la
manera siguiente:
Un clúster de conmutación por error ofrece una solución software de alta disponibilidad.
Un clúster de conmutación por error en Windows Server 2012 R2 puede soportar hasta 64
nodos físicos.
Un clúster de conmutación por error en Windows Server 2012 R2 puede soportar hasta 8000
máquinas virtuales.
En un clúster, un nodo representa uno de los servidores que lo componen.
Los clientes se comunican con la instancia de la aplicación en clúster mediante una dirección IP
virtual.
Un clúster se vale de una red interna para que los nodos puedan comunicarse entre sí, además
de una red pública para que los clientes puedan comunicarse con la instancia de la aplicación
soportada por el clúster.
Los volúmenes compartidos de un clúster permiten gestionar los accesos concurrentes a un

mismo archivo.
Antes de crear un clúster de conmutación por error, los servidores integrantes deben pasar con
éxito un conjunto de pruebas. Si algún servidor no supera las validaciones, entonces no podrá
formar parte de los nodos de un clúster.
Un clúster de conmutación por error permite configurar roles preconfigurados. Un rol permite
reiniciar un servicio fuera de línea, ejecutar scripts predefinidos o cambiar una aplicación a otro
nodo disponible en caso de fallo.
Un quórum de clúster permite a cada componente votar si el clúster se mantiene en línea

cuando uno o más no están ya operativos.
preguntas.
1. Preguntas
1 ¿Qué es un clúster?
2 ¿Qué protocolos IP están soportados por un clúster de conmutación por error?
3 ¿Qué protocolo de red y puerto de comunicación utilizan los nodos de un clúster para
comunicarse entre sí?
4 ¿Qué servicio Windows permite administrar los servidores de un clúster?
5 Cite al menos tres requisitos previos que debe cumplir un conjunto de servidores antes de
poder unirse a un clúster.
6 ¿Cuántos nodos físicos se soportan en un clúster de servidores Windows Server 2012 R2?
7 ¿Cuántas máquinas virtuales se soportan en cada clúster Windows Server 2012 R2?
8 En un clúster Windows Server 2012 R2, ¿para que sirven los CSV?
9 ¿Qué complemento permite administrar un clúster Windows Server 2012 R2?
10 ¿Qué es un quórum de clúster?
11 ¿Cuáles son los tres modos de configuración de un quórum?
2. Resultados
punto.
3. Respuestas
1 ¿Qué es un clúster?
Un clúster es un grupo de servidores que ejecutan la misma instancia de una aplicación.
2 ¿Qué protocolos IP están soportados por un clúster de conmutación por error?
Un clúster de conmutación por error soporta los protocolos IPv 4 e IPv 6.
3 ¿Qué protocolo de red y puerto de comunicación utilizan los nodos de un clúster para
comunicarse entre sí?
Los nodos del clúster intercambian entre ellos mensajes de latido empleando el protocolo UDP en
el puerto 3343.
4 ¿Qué servicio Windows permite administrar los servidores de un clúster?
El servicio Windows Serv icio de clúster permite administrar los servidores de un clúster.
5 Cite al menos tres requisitos previos que debe cumplir un conjunto de servidores antes de
poder unirse a un clúster.
Los servidores que quieran integrarse en un clúster de conmutación por error deben cumplir los
requisitos previos siguientes:
La misma edición del sistema operativo.

La misma arquitectura del procesador.
El mismo nivel de parches.
El mismo nivel de service pack.
El mismo protocolo de red para los adaptadores de red de cada nodo.
El mismo dominio Active Directory para todos los nodos.
El mismo rol de clúster instalado en cada nodo.
6 ¿Cuántos nodos físicos se soportan en un clúster de servidores Windows Server 2012 R2?
Un clúster en Windows Server 2012 R2 puede soportar hasta 64 nodos físicos.
7 ¿Cuántas máquinas virtuales se soportan en cada clúster Windows Server 2012 R2?
En Windows Server 2012 R2, cada clúster puede mantener 8000 máquinas virtuales.
8 En un clúster Windows Server 2012 R2, ¿para qué sirven los CSV?
Los CSV (Cluster Shared Volumes), o volúmenes compartidos, permiten a los nodos de un clúster
acceder simultáneamente a un mismo archivo albergado en una LUN del espacio de
almacenamiento. Este procedimiento se utiliza, en particular, para el almacenamiento de una
imagen virtual a la cual se necesita acceso simultáneo por dos hosts Hyper-V.
9 ¿Qué complemento permite administrar un clúster Windows Server 2012 R2?
El complemento Adm inistrador de clústeres de conm utación por error permite administrar
un clúster Windows Server 2012 R2.
10 ¿Qué es un quórum de clúster?
Un quórum es un voto que permite determinar cuántos nodos deben estar activos en un clúster
para garantizar el servicio a los usuarios.
11 ¿Cuáles son los tres modos de configuración de un quórum?
Un quórum puede funcionar en los modos de configuración siguientes:
Mayoría de disco y nodo (Node and Disk Majority)
Mayoría de nodo (Node Majority)
Mayoría de recurso compartido de archivos y nodo (Node and File Share Majority).
Saber instalar y configurar un sistema operativo Windows Server 2012 R2.
Tener nociones sobre la virtualización de servidores.
Tener nociones sobre los clústeres de conmutación.
Tener nociones sobre la alta disponibilidad.
Ten nociones sobre la virtualización con Hyper-V.
Saber instalar y configurar Hyper-V.
Saber configurar un recurso compartido iSCSI.
2. Objetivos
Saber implementar un clúster de conmutación por error Hyper-V.
Saber importar una máquina virtual.
Saber configurar la replicación de una máquina virtual.
Saber implementar una máquina virtual en un clúster de conmutación por error.
Saber mover una máquina virtual.

Virtualización con Hyper-V
Hyper-V es un hipervisor integrado en el sistema operativo Windows Server 2012 R2 como rol de
servidor. Hyper-V aporta una solución de virtualización de servidores dentro de los productos servidor
de Microsoft.
1. Presentación de Hyper-V
En el mundo de la virtualización de servidores, existen varios actores que ofrecen productos que
compiten con la solución ofrecida por Microsoft. En entornos de producción, encontramos
principalmente los productos siguientes:
VMware vSphere
Citrix XenServer
Microsoft Hyper-V
En el sistema operativo Windows Server 2012 R2, Microsoft ha integrado la versión 3 de Hyper-V. Un
hipervisor es una capa de software que se ejecuta directamente en una máquina física para poder
gestionar múltiples máquinas virtuales en un único host. Este proceso está diseñado para ofrecer a
las empresas muchas ventajas, como la alta disponibilidad, reducción de costes y una gestión
centralizada del sistema de información.
Con esta nueva versión del sistema operativo, Microsoft proporciona a las empresas rendimientos
más importantes y características mejoradas con respecto a la versión anterior en términos de
virtualización con Hyper-V. Las infraestructuras de virtualización pueden beneficiarse en adelante de
las ventajas ofrecidas por las siguientes características:
Los hosts Hyper-V soportan en adelante hasta:
320 procesadores lógicos en hardware.
4 TB de memoria RAM.
2048 procesadores virtuales por host.
1024 máquinas virtuales activas por host.
Las máquinas virtuales soportan en adelante hasta:
64 procesadores virtuales por VM.
1 TB de memoria por VM.
64 TB de almacenamiento en un disco virtual.
Una infraestructura Hyper-V en Windows Server 2012 R2 ofrece en adelante la posibilidad de:
Redimensionar el tamaño de un disco virtual (con la condición de tener un archivo de disco

VHDX conectado a un controlador SCSI) conectado a una máquina virtual. La acción se puede
llevar a cabo en caliente: no es necesario apagar la máquina virtual, la operación se lleva a
cabo incluso si el disco está en uso. Esto aporta pues una mayor flexibilidad para las
operaciones de mantenimiento.
Compartir un disco virtual (VHDX) entre varias máquinas virtuales de un clúster de

conmutación por error. Los archivos de cada disco virtual pueden alojarse en un volumen del
clúster compartido, un recurso compartido SMB o un servidor de archivos.
Implementar la QoS (Quality of Service) en cada disco virtual para controlar y limitar el I/O
(Input/Output: entrada/salida) de las máquinas virtuales.
Los sistemas operativos invitados siguientes están, en adelante, soportados: Windows

Server 2012 R2 y Windows 8.1.
a. Instalación del rol Hyper-V
La instalación del rol Hyper-V se realiza a través del Administrador del servidor, agregando el rol
Hyper-V. Añadir este rol requiere un reinicio del servidor para implementar el hipervisor Hyper-V:
Al agregar este rol se añade el servicio Windows: Administración de máquinas virtuales de

Hyper-V
Antes de instalar el rol de servidor Hyper-V en las máquinas Windows Server 2012 R2 de un clúster
debemos garantizar que cada servidor cuenta con la misma versión de procesador y con una
tarjeta de red dedicada al envío de mensajes de latido. Antes de unirse al clúster Hyper-V, los
servidores deben contar con la misma versión del sistema operativo así como el mismo nivel de
parches o service pack.
b. Administración de Hyper-V
La administración de un host Hyper-V se realiza a través del complemento Administrador de

Hyper-V disponible en la siguiente ubicación:
%windir%\system32\mmc.exe "%windir%\system32\virtmgmt.msc"
Si su infraestructura Hyper-V está configurada en modo clúster de conmutación por error, las
máquinas virtuales asociadas al clúster Hyper-V deben gestionarse mediante el
complementoAdministrador de clústeres de conmutación por error:
La consola Administrador de Hyper-V permite conectarse a un host que ejecute el hipervisor de
Microsoft para administrar y gestionar la infraestructura virtual.
c. Administración de Hyper-V a través de SCVMM
La gestión de un host Hyper-V puede realizarse mediante el complemento Administrador de Hyper-

V, y también mediante el componente SCVMM (System Center Virtual Machine Manager). Esta
consola de administración aporta más funcionalidades de administración que el complemento.
Virtual Machine Manager permite gestionar infraestructuras de virtualización de servidores tales

como VMware vSphere, Citrix XenServer o Microsoft Hyper-V. Utilizando este componente,
podemos desplegar y gestionar las máquinas virtuales. El uso de esta consola de administración
requiere la instalación de una base de datos Microsoft SQL Server para almacenar los elementos
de configuración.
La instalación de la consola SCVMM requiere los siguientes requisitos previos:
Microsoft SQL Server 2008
Microsoft .NET Framework 3.5 SP1
Windows AIK (Automated Installation Kit)
4 GB de memoria RAM como mínimo
Procesador de al menos 2 GHz

Alta disponibilidad con Hyper-V
En entornos de producción, la alta disponibilidad de un sistema de información requiere implementar
equipos redundantes. Para garantizar un alto nivel de disponibilidad de las máquinas virtuales en una
infraestructura de virtualización Hyper-V, Microsoft ha implementado tecnologías de replicación de VM
(Virtual Machines), al igual que el uso de clústeres de conmutación por error.
1. Replicación
La replicación permite aportar una solución de alta disponibilidad basada en la redundancia de
máquinas virtuales. Activando la replicación entre dos hosts Hyper-V y las máquinas virtuales, cada
host posee entonces una copia de la máquina virtual. Dado que esta copia está replicada, si uno de
los hosts que hospedan la máquina virtual se detuviera, alguno de los hosts restantes se haría
cargo arrancándola también. Para activar la replicación, es necesario, en primer lugar, configurar los
hosts Hyper-V para la replicación y, a continuación, configurar las máquinas virtuales para replicar
según sus parámetros de replicación.
2. Clúster de conmutación por error

Con Windows Server 2012 R2, los entornos virtuales pueden volverse altamente disponibles
implementando un clúster de conmutación por error Hyper-V. Cuando se configura una máquina
virtual para ejecutarse en un clúster de conmutación por error, si el host que la hospeda falla, la
máquina se arranca automáticamente en un segundo host del clúster y las aplicaciones y servicios
siguen estando, así disponibles para los usuarios. Este modo de alta disponibilidad también se
denomina Host Clustering.
La implementación del clúster de conmutación por error Hyper-V requiere la configuración de un

espacio de almacenamiento compartido. Es preciso configurar una red dedicada para garantizar la
comunicación entre los hosts Hyper-V y debe dedicarse otra red para la comunicación con el espacio
de almacenamiento (SAN o iSCSI). Las máquinas virtuales se almacenan en el espacio de
almacenamiento compartido, cada host del clúster puede entonces acceder a los archivos que
componen la máquina virtual. Dicho esto, un solo host del clúster puede ejecutar una máquina
virtual a la vez. Cuando un host deja de funcionar, se advierte inmediatamente a los demás
integrantes del clúster del fallo y un host disponible del clúster se encarga de cambiar la máquina
virtual automáticamente para garantizar la continuidad del servicio. Los servidores integrantes del
clúster están al corriente del estado de cada host Hyper-V mediante el envío de mensajes de latido.
Estos mensajes de latido se intercambian entre cada host Hyper-V cada segundo para conocer el
estado de cada uno de ellos. El envío de los mensajes de latido se lleva a cabo en la red dedicada a
los hosts a través del protocolo TCP/UDP en el puerto 3343. Se considera que un host está
indisponible cuando no devuelve 5 mensajes de latido, es decir tras 5 segundos de ausencia de
comunicación entre los integrantes del clúster Hyper-V.
No obstante, existe otro método de conmutación comúnmente llamado Guest Clustering. Este
método no consiste en tener una máquina virtual hospedada en un host Hyper-V de un clúster de
conmutación por error, sino dos máquinas virtuales idénticas, hospedadas en hosts diferentes del
clúster de conmutación por error. De esta forma, en caso de fallo, la máquina virtual hospedada en
el segundo host Hyper-V puede tomar el relevo más rápidamente. En este modo de conmutación, las
máquinas virtuales comparten el mismo espacio de almacenamiento.
El clúster de conmutación por error Hyper-V en Windows Server 2012 R2 soporta los elementos
siguientes:
8000 máquinas virtuales por clúster.
64 nodos.
Soporte de volúmenes compartidos para almacenar las máquinas virtuales.
El almacenamiento de las máquinas virtuales puede realizarse, en lo sucesivo, en recursos

compartidos SMB 3.0.
Soporte para la supervisión de servicios de la máquina virtual.
3. Migración de las máquinas virtuales

La migración de las máquinas virtuales puede llevarse a cabo manualmente o automáticamente
durante la pérdida del host que ejecuta la máquina virtual. La migración consiste en desplazar la
ejecución de una máquina virtual de un host A a un host B. Existen dos tipos de migración:
Migración rápida: permite desplazar una máquina virtual a otro host teniendo la precaución
de guardar el estado del servidor antes de la conmutación. Se vuelve a arrancar la máquina
una vez terminada la conmutación por error.
Migración en vivo: permite desplazar una máquina virtual en caliente a otro host del clúster.
Se sincroniza el estado del servidor durante el tiempo completo que dure la conmutación por
error.
Un clúster de conmutación por error tiene, también, en cuenta la migración del almacenamiento de
una máquina virtual. De esta forma, es posible desplazar los archivos que componen una máquina
virtual de un elemento de almacenamiento a otro.
En Windows Server 2012 R2, la operación de migración se desarrolla comprimiendo el contenido de

la memoria de la máquina virtual para copiarla en su destino. Esto permite mejorar el rendimiento de
la migración de una máquina virtual a aproximadamente, la mitad de tiempo.
Además, en lo sucesivo es posible exportar o clonar manualmente una máquina virtual en caliente.
Trabajos prácticos
La empresa INFONOVICE desea implementar una solución de alta disponibilidad que permita
garantizar la disponibilidad de las máquinas virtuales en caso de pérdida de uno de los hosts de la
infraestructura Hyper-V.
Para responder a esta necesidad, se le pide implementar una solución de clúster de conmutación por
error para poder migrar en caliente una máquina virtual de un host Hyper-V a otro miembro del
clúster.
DC-01: Controlador de dominio Infonovice.priv, servidor DNS
FILES-01: Servidor de archivos iSCSI, Invonovice.priv
Particiones E:\, F:\, G:\ (30 GB por disco)
HV-01: Servidor Hyper-V, Infonovice.priv
Segunda tarjeta de red
HV-02: Servidor Hyper-V, Infonovice.priv
Segunda tarjeta de red
1. Preparar el almacenamiento Hyper-V

Este taller permite configurar los elementos de almacenamiento de un clúster Hyper-V.
Paso 1: inicie una sesión en el servidor FILES-01 con credenciales de administración y, a

continuación, utilice el Administrador del servidor para crear tres discos virtuales iSCSI con las
características siguientes:
Nombre del destino: HYPER-V
Ruta de acceso: Archivo HYPER-V.vhd (en cada partición E:\, F:\ y G:\)
Tamaño: 30 GB
Servidor de acceso: HV-01.infonovice.priv y HV-02.infonovice.priv

Paso 2: inicie una sesión en el servidor HV-01 con una cuenta de administrador del
dominioInfonovice.priv. En el Administrador del servidor, haga clic en Herramientas y, a
continuación, enIniciador iSCSI.
Paso 3: en la ventana Microsoft iSCSI, haga clic en Sí para iniciar el servicio Windows asociado.
Paso 4: en la ventana Propiedades: Iniciador iSCSI, en la pestaña General, escriba FILES-01en

el campo Destino y haga clic en Conexión rápida.
Paso 5: en la ventana Conexión rápida, haga clic en Listo y, a continuación, Aceptar para cerrar
la ventana.
Paso 6: abra el Administrador del servidor, vaya a la sección Servicios de archivos y

almacenamiento y haga clic en Discos.
Paso 7: haga clic con el botón derecho en los discos sin conexión y haga clic en Poner en línea. A
continuación, haga clic en Sí para confirmar la operación.
Paso 8: haga clic con el botón derecho en uno de los nuevos discos en línea, y haga clic enNuevo
volumen.
Paso 10: en el paso Seleccionar el servidor y el disco, haga clic en Siguiente.
Paso 11: haga clic en Aceptar para inicializar el disco.
Paso 12: en el paso Especificar el tamaño del volumen, indique 30 GB y haga clic en Siguiente.
Paso 13: en el paso Asignar a letra de unidad o carpeta, deje la letra por defecto y haga clic
enSiguiente.
Paso 14: en el paso Seleccionar configuración del sistema de archivos, indique la siguiente
información y haga clic en Siguiente:
Sistema de archivos: NTFS
Tamaño de unidad de asignación: Predeterminado
Etiqueta del volumen: DISCOS
Paso 15: en el paso Confirmar selecciones, haga clic en Crear.
Paso 17: vuelva a realizar los pasos 6 al 16 seleccionando los demás discos en línea. Para los
nombres de volumen, el segundo disco se llamará VM y el tercero QUORUM.
continuación, enIniciador iSCSI.
Paso 19: en la ventana Microsoft iSCSI, haga clic en Sí para iniciar el servicio Windows
asociado.
Paso 20: en la ventana Propiedades: Iniciador iSCSI, en la pestaña General, escriba FILES-
01en el campo Destino y haga clic en Conexión rápida.
Paso 21: en la ventana Conexión rápida, haga clic en Listo y, a continuación, Aceptar para
cerrar la ventana.
Paso 22: abra el Administrador del servidor, vaya a la sección Servicios de archivos y
almacenamiento y haga clic en Discos.
Paso 23: haga clic con el botón derecho en cada disco sin conexión y haga clic en Poner en línea.
A continuación, haga clic en Sí para confirmar la operación. Verifique que las tres particiones
aparezcan en el puesto de trabajo.
Paso 24: vaya al servidor HV-01 y, a continuación, desde el Administrador del servidor,
agregue la característica Clúster de conmutación por error. Repita la operación en el
servidorHV-02.
Paso 25: desde la consola Administrador del servidor en HV-01, haga clic en Herramientas y,
a continuación, en Administrador de clústeres de conmutación por error.
Paso 26: en el menú Acciones, haga clic en Validar configuración.
Paso 28: en el paso Seleccionar servidores o un clúster, agregue los servidores HV-01 y HV-
02 y haga clic en Siguiente.
Paso 29: en el paso Opciones de pruebas, marque la opción Ejecutar todas las pruebas y haga
clic en Siguiente.
Paso 31: en el paso Resumen, verifique que las pruebas han concluido exitosamente y, a
continuación, marque la opción Crear el clúster ahora con los nodos validados.
Paso 32: en la ventana Asistente para crear clúster, haga clic en Siguiente en el paso Antes de
comenzar.
Paso 33: en el paso Punto de acceso para administrar el clúster, escriba CLUSTER-HV en el
campo Nombre del clúster y, a continuación, haga clic en Siguiente.
Paso 34: en el paso Confirmación, desmarque la opción Agregar todo el almacenamiento apto
al clúster y, a continuación, haga clic en Siguiente.
Paso 36: despliegue el árbol de la consola Administrador de clústeres de conmutación por

error y seleccione al elemento siguiente CLUSTER-HV.infonovice.priv \ Almacenamiento \
Discos. En el menú Acciones, haga clic en Agregar disco.
Paso 37: verifique que los tres discos están marcados y haga clic en Aceptar.
Etapa 38: verifique que los tres discos aparecen con un estado En línea:
Paso 39: seleccione el disco cuyo nombre de volumen es VM (se debe tratar del disco número 1),
haga clic con el botón derecho encima y haga clic en Agregar a volúmenes compartidos del
clúster.
Paso 40: haga clic con el botón derecho en el nodo CLUSTER-HV.infonovice.priv, haga clic
enAcciones adicionales y, a continuación, en Configurar opciones de quórum de clúster.
Paso 41: en el paso Antes de comenzar del Asistente para configurar quórum de clúster, haga
clic en Siguiente.
Paso 42: en la etapa Seleccionar opción de configuración de quórum, marque la

opciónSeleccionar el testigo de quórum y haga clic en Siguiente.
Paso 43: en el paso Seleccionar testigo de quórum, marque la opción Configurar un testigo de
disco y haga clic en Siguiente.
Paso 44: marque la opción del disco cuyo nombre de volumen es QUORUM y, a continuación,
haga clic en Siguiente (se debe tratar del volumen G:\).
En este punto, el nodo propietario de cada disco iSCSI debe ser el servidor HV-01. Si no fuera el
caso, realice la modificación.
2. Instalar el rol Hyper-V

Este taller permite instalar el rol de servidor Hyper-V en un equipo que ejecuta el sistema operativo
dominioInfonovice.priv y a continuación, en el Administrador del servidor, haga clic en Agregar

rolHyper-V y, a continuación, haga clic en el botón Agregar características. A continuación, haga
clic en Siguiente:
Paso 5: en el paso Hyper-V, haga clic en Siguiente.
Paso 6: en el paso Crear conmutadores virtuales, marque la opción correspondiente a la

segunda tarjeta de red y haga clic en Siguiente:
Paso 7: en el paso Migración de máquinas virtuales, haga clic en Siguiente.
Paso 8: en el paso Almacenes predeterminados, haga clic en Siguiente.
En un entorno de producción, es recomendable seleccionar una ubicación diferente a la

predeterminada.
Paso 10: en la etapa Progreso de la instalación, haga clic en Cerrar y reinicie el servidor.
Repita las operaciones 1 a 10 en el servidor HV-02.
3. Importar las máquinas virtuales

Este taller permite importar las máquinas virtuales existentes (del taller anterior de este libro) en un
host Hyper-V.
dominioInfonovice.priv y, a continuación, cree el directorio C:\VM.
Paso 2: copie la carpeta que contiene la máquina virtual CLIENT2 en la carpeta C:\VM del
servidor HV-01.

enAdministrador de Hyper-V.
Paso 4: en el árbol de la consola, seleccione el host Hyper-V, haga clic con el botón derecho
encima y haga clic en Importar máquina virtual.
Paso 6: en el paso Buscar carpeta, haga clic en Examinar para indicar la ruta C:\VM\CLIENT2.
Haga clic en Siguiente.
Paso 7: en el paso Seleccionar máquina virtual, haga clic en CLIENT2 y, a continuación,
enSiguiente.
Paso 8: en el paso Elegir tipo de importación, marque la opción Copiar la máquina virtual y, a
Paso 9: en el paso Elegir carpetas para archivos de máquina virtual, haga clic en Siguiente.
Paso 10: en el paso Elegir carpetas para almacenar discos duros virtuales, haga clic
enSiguiente.
La máquina virtual aparece ahora en el centro de la consola de administración de Hyper-V.
4. Configurar la replicación Hyper-V

Este taller permite activar y configurar la replicación en un host Hyper-V.
dominioInfonovice.priv y, a continuación, cree el directorio C:\REPLICACIÓN.

enAdministrador de Hyper-V.
Paso 3: en el árbol de la consola, seleccione el host Hyper-V, haga clic con el botón derecho
encima y haga clic en Configuración de Hyper-V.
Paso 4: en el árbol de la ventana, haga clic en Configuración de replicación.
Paso 5: marque la opción Habilitar este clúster como servidor de réplicas.
Paso 6: marque la opción Usar Kerberos (HTTP) en el puerto 80.
Paso 7: en la sección Autorización y almacenamiento, marque la opción Permitir replicación

desde cualquier servidor autenticado. Haga clic en Examinar para especificar la
ubicaciónC:\REPLICACIÓN y, a continuación, haga clic en Aceptar dos veces:
Paso 8: abra una ventana Ejecutar, escriba firewall.cpl y haga clic en Aceptar:
Paso 9: en el menú de la izquierda haga clic en Configuración avanzada.
Paso 10: en el árbol de la consola, haga clic en Reglas de entrada y, a continuación, en la lista
central, habilite la regla Escucha HTTP de réplica de Hyper-V (Tcp de entrada) y cierre todas
las ventanas del Firewall de Windows.
Repita las operaciones 1 a 10 en el servidor HV-02.
5. Configurar la replicación de una VM

Este taller permite activar y configurar la replicación de una máquina virtual en dos hosts Hyper-V.
Paso 1: inicie una sesión en el servidor HV-02.infonovice.priv con una cuenta de administrador
del dominio Infonovice.priv. En el Administrador del servidor, haga clic en Herramientas y, a
continuación, en Administrador de Hyper-V.
Paso 2: en el árbol de la consola, seleccione el host Hyper-V y, a continuación, en la ventana

central, haga clic con el botón derecho en la máquina virtual CLIENT1 y haga clic en Habilitar
replicación.
Paso 4: en el paso Especificar servidor de réplicas, escriba HV-02 en el campo Servidor de

réplicas y haga clic en Siguiente.
Paso 5: en el paso Especificar parámetros de conexión, escriba 80 en el campo Puerto del

servidor de réplicas y, a continuación, marque la opción Usar la autenticación Kerberos
(HTTP). A continuación, haga clic en Siguiente.
Paso 6: en el paso Elegir discos duros virtuales de replicación, haga clic en Siguiente.
Paso 7: en el paso Configurar RPO, puntos de recuperación adicionales, marque la

opciónMantener solo el punto de recuperación más reciente, y haga clic en Siguiente.
Paso 8: en el paso Elegir método de replicación inicial, marque la opción Enviar copia inicial a
través de la red de la sección Método de replicación inicial. A continuación, marque la
opciónIniciar replicación inmediatamente de la sección Programar replicación inicial y haga clic
enSiguiente.
Paso 9: en el paso Finalización del Asistente para habilitar replicación, haga clic en Finalizar.
Paso 10: seleccione la máquina virtual CLIENT1 y, en la columna Estado, observe el progreso de
la replicación.
Paso 11: al finalizar la replicación la máquina virtual CLIENT1 estará, también, visible en el host
Hyper-V HV-02. Haga clic con el botón derecho en la máquina virtual replicada y, a continuación,
haga clic en Replicación\Mantenimiento de la replicación. Verifique que no ha habido errores en
la replicación y haga clic en Cerrar.
Paso 12: haga clic con el botón derecho en la máquina virtual CLIENT1 y haga clic
enReplicación\Conmutación por error planeada.
Paso 13: en la ventana Conmutación por error planeada, marque la opción Iniciar la máquina
virtual de réplica tras la conmutación por error y haga clic en Conmutación por error:
Paso 14: verifique que la máquina virtual CLIENT1 ha iniciado en el host HV-02. Haga clic con el
botón derecho en la máquina virtual y, a continuación, haga clic en Replicación\Quitar
replicación y confirme la eliminación.
Paso 15: apague la máquina CLIENT1.
6. Configurar la conmutación por error de clúster

Este taller permite configurar la conmutación por error de un clúster Hyper-V.
dominioInfonovice.priv. A continuación, copie el archivo C:\Users\Public\Documents\Hyper-V\Virtual
Hard Disks\CLIENT2.vhdx en la carpeta C:\ClusterStorage\Volume1.
Paso 2: en el Administrador del servidor del servidor HV-01, haga clic en Herramientas y, a
continuación, en Administrador de clústeres de conmutación por error. Despliegue el árbol de
la consola y haga clic con el botón derecho en Roles - Máquinas virtuales - Nueva máquina
virtual.
Paso 3: en la ventana Nueva máquina virtual, seleccione HV-01 y, a continuación, haga clic
enAceptar.
Paso 4: en el paso Antes de comenzar del Asistente para crear nueva máquina virtual, haga
clic en Siguiente.
Paso 5: en el paso Especificar el nombre y la ubicación, escriba CLIENT-TEST en el

campoNombre. Marque la opción Almacenar la máquina virtual en otra ubicación y haga clic
enExaminar para especificar la ruta C:\ClusterStorage\Volume1. A continuación, haga clic
enSiguiente:
Paso 6: en el paso Asignar memoria, escriba 1024 MB en el campo Memoria de inicio y haga clic
en Siguiente.
Paso 7: en el paso Configurar funciones de red, seleccione la tarjeta de red correspondiente al

switch virtual existente. Haga clic en Siguiente.
Paso 8: en el paso Conectar disco duro virtual, marque la opción Usar un disco duro virtual
existente y haga clic en Examinar para seleccionar el
archivo:C:\ClusterStorage\Volume1\CLIENT2.vhdx. A continuación, haga clic en Siguiente:
Paso 9: en el paso Finalización del Asistente para crear nueva máquina virtual, haga clic
enFinalizar.
Paso 10: en el paso Resumen, verifique que la creación de la VM se ha llevado a cabo con éxito
y, a continuación, haga clic en Finalizar.
7. Migrar una máquina virtual

Este taller permite migrar en caliente una máquina virtual a otro host Hyper-V (V-Motion).
continuación, enAdministrador de clústeres de conmutación por error.
Paso 2: despliegue el árbol de la consola para seleccionar el nodo Roles. Haga clic con el botón
derecho en la máquina virtual CLIENT-TEST y haga clic en Iniciar.
Paso 3: haga clic con el botón derecho en la máquina virtual CLIENT-TEST, haga clic en Mover y,
a continuación, en Migración en vivo y Seleccionar nodo.
Paso 4: en la ventana Mover máquina virtual, seleccione HV-02 y, a continuación, haga clic
enAceptar.
Paso 5: haga clic con el botón derecho en la máquina virtual y haga clic en Conectar. Verifique
que la máquina virtual está accesible en el host HV-02.
8. Migrar el almacenamiento de una VM

Este taller permite migrar en caliente el almacenamiento de una máquina virtual a otra ubicación (V-
Storage).
continuación, enAdministrador de Hyper-V.
Paso 2: haga clic con el botón derecho en la máquina virtual CLIENT2 y haga clic en Mover.
Paso 3: en la ventana Asistente para crear clúster, haga clic en Siguiente en el paso Antes de
comenzar.
Paso 4: en el paso Elegir tipo de movimiento, marque la opción Mover el almacenamiento de la

máquina virtual y, a continuación, haga clic en Siguiente.
Paso 5: en el paso Elegir opciones de movimiento de almacenamiento, marque la opción Mover

todos los datos de la máquina virtual a una sola ubicación y, a continuación, haga clic
enSiguiente.
Paso 6: en el paso Elegir una nueva ubicación para máquina virtual, haga clic en Examinar y
seleccione la carpeta C:\CLIENT2. Haga clic en Siguiente y, a continuación, en Finalizar.
9. Redimensionar un VHDX en caliente

Este taller permite redimensionar en caliente el disco virtual en formato VHDX de una VM:
continuación, enAdministrador de Hyper-V.
Paso 2: verifique que la VM CLIENT2 se encuentra en ejecución correctamente. Seleccione la VM

y, a continuación, en la sección Acción del Administrador de Hyper-V, haga clic en Editar disco.
Paso 3: en la ventana Antes de comenzar, haga clic en Siguiente.
Paso 4: en el paso Localizar disco, haga clic en Examinar para seleccionar la ubicación del
archivo *.vhdx asociado a la máquina virtual y, a continuación, haga clic en Siguiente.
Paso 5: en el paso Elegir acción, marque la opción Expandirlo y, a continuación, haga clic
enSiguiente.
Paso 6: en el paso Expandir disco duro virtual, escriba un valor superior al tamaño actual del
disco. Haga clic en Siguiente y, a continuación, en Finalizar.
Paso 7: conéctese a la máquina virtual cliente e introduzca el comando
siguiente:compmgmt.msc. Navegue hasta el nodo Administración de discos en la
secciónAlmacenamiento para verificar que el disco duro de la máquina virtual cuenta, en
adelante, con espacio sin asignar.
A lo largo de este capítulo, hemos visto todos los aspectos relativos a los clústeres de conmutación en
Windows Server 2012 R2. Podría resumirse de la manera siguiente:
Windows Server 2012 R2 utiliza la versión 3 de Hyper-V.
Hyper-V puede instalarse en un sistema operativo Windows Server 2012 R2 instalado en modo
Core Server o instalación completa.
Los hosts de un clúster intercambian mensajes de latido cada segundo para conocer el estado
de funcionamiento de los demás integrantes.
Un host se declara como defectuoso cuando no responde a 5 mensajes de latido.
Para administrar una máquina virtual ejecutada en clúster, se debe emplear la

consolaAdministrador de clústeres de conmutación por error.
Una infraestructura de virtualización de servidores puede gestionarse y administrarse

mediante la herramienta SCVMM (System Center Virtual Machine Manager).
preguntas.
1. Preguntas
1 ¿A qué puerto envían los hosts Hyper-V los mensajes de latido para los demás integrantes del
clúster?
2 ¿Cuántas máquinas virtuales soporta un clúster de conmutación por error de Windows

Server 2012 R2?
3 ¿Después de cuántos mensajes de latido se declara el fallo de un host Hyper-V por parte de
los demás miembros de un clúster?
4 ¿Cuál es la frecuencia de envío de los mensajes de latido enviados por los integrantes de un
clúster?
5 ¿Cuál es la versión de Hyper-V utilizada en Windows Server 2012 R2?
6 ¿Qué es la replicación en Hyper-V?
2. Resultados
punto.
3. Respuestas
1 ¿A qué puerto envían los hosts Hyper-V los mensajes de latido para los demás integrantes del
clúster?
Los mensajes de latido se envían a los demás miembros del clúster a través del puerto TCP/UDP
3343.
2 ¿Cuántas máquinas virtuales soporta un clúster de conmutación por error de Windows

Server 2012 R2?
En Windows Server 2012 R2, un clúster de conmutación por error puede soportar 8000 máquinas
virtuales.
3 ¿Después de cuántos mensajes de latido se declara el fallo de un host Hyper-V por parte de
los demás miembros de un clúster?
Si un host Hyper-V no responde a 5 mensajes de latido, se declara como fallo y se inicia el proceso
de conmutación de las máquinas virtuales.
4 ¿Cuál es la frecuencia de envío de los mensajes de latido enviados por los integrantes de un
clúster?
Los miembros de un clúster Hyper-V envían los mensajes de latido destinados a los demás
integrantes del clúster cada segundo.
5 ¿Cuál es la versión de Hyper-V utilizada en Windows Server 2012 R2?
Windows Server 2012 R2 utiliza la versión de Hyper-V 3.0.
6 ¿Qué es la replicación en Hyper-V?
La replicación permite dotar de redundancia a las máquinas virtuales, que pueden alojarse, de este
modo, simultáneamente en dos hosts Hyper-V. Si uno de los hosts cae, la máquina virtual se
reactiva automáticamente, en el host Hyper-V restante.
Conocer los principios de una copia de seguridad de datos.
Conocer los principios de una restauración de datos.
Conocer las bases de un plan de recuperación de contingencias.
2. Objetivos
Saber implementar un plan de recuperación de contingencias en caso de siniestro.
Saber definir una directiva de copia de seguridad.
Saber implementar la copia de seguridad en Windows Server 2012 R2.
Saber restaurar los datos borrados de un servidor de archivos.
Saber recuperar los objetos eliminados accidentalmente de un directorio.

Presentación de la recuperación de desastres
Hoy en día, cada vez más empresas trabajan empleando diariamente herramientas informáticas
(servidores, puestos de trabajo, terminales fijos o móviles, e-mail, etc.). Los datos manipulados están
disponibles en diferentes soportes, accesibles por uno o varios usuarios y más o menos
confidenciales. Para muchas empresas, su actividad principal está basada en datos digitales
(contratos, facturas, pedidos, gestión de inventario, productos, servicios en línea, sitios web,
proyectos, etc.). Por este motivo, la pérdida de datos informáticos durante un siniestro puede resultar
vital para una empresa (incendio, eliminación accidental, caídas de sistema, piratería, robo, etc.).
Según las estadísticas, una empresa que pierde una parte fundamental de sus datos informáticos
tras una caída del sistema o una manipulación incorrecta tiene un porcentaje muy alto de cesar toda
actividad en las semanas siguientes al siniestro, si no se ha implemantado previamente un plan de
recuperación de desastres. Por este motivo, la copia de seguridad es un aspecto esencial, común a
casi todas las empresas. Implementar una solución informática significa, también, planificar e
implementar soluciones de restauración en caso de siniestro.
1. Recuperación de desastres
La recuperación de desastres consiste en restaurar el servicio que se haya visto impactado tras un
siniestro. Para ello, una empresa puede implementar un plan de recuperación de desastres (PRD)
que consiste en definir las tareas y acciones a realizar para restaurar, en un tiempo récord, el
servicio ofrecido a los usuarios. Un PRD contiene principalmente un plan de respaldo que consiste en
definir una política relativa al almacenamiento del conjunto de datos de la empresa para poder
restaurarlo en caso de necesidad. Antes de implementar una política de respaldo, una empresa
debe realizar un estudio preliminar que ayudará a definir claramente las necesidades y orientar la
manera más adecuada de implementar el plan de respaldo. Para satisfacer mejor las exigencias
requeridas por un sistema informático, es necesario respetar y seguir las mejores prácticas definidas
en las normas ITIL (Information Technology Infrastructure Library).
Las mejores prácticas contenidas en las publicaciones ITIL abogan por dar respuesta a las
siguientes preguntas antes de implementar un plan de recuperación de desastres:
Definir los elementos a securizar y/o respaldar: securizar o respaldar el conjunto del
perímetro informático conlleva costes (software, hardware, espacio de almacenamiento en
disco o cinta, redundancia de equipos, etc.). Por este motivo, conviene evaluar previamente el
volumen de datos a almacenar realizando la selección de los elementos a conservar.
Evaluar los costes del respaldo: a mayor cantidad de datos a respaldar, mayor será el coste
del plan de respaldo (equipo de copia de seguridad, espacio en disco, etc.). Para controlar su
presupuesto, es importante no descuidar los costes vinculados al respaldo. Todos los
elementos de la infraestructura de copia de seguridad deben ser evaluados, como el
hardware, software, volumen de datos, costes de retención, costes de almacenamiento al
igual que los costes humanos (administrador, operador, etc.).
Definir las cláusulas del contrato de nivel de servicio: las publicaciones que describen las
mejores prácticas informáticas mencionan la gran importancia de definir previamente el nivel
de servicio ofrecido a los usuarios. Estas cláusulas deben registrarse en un documento que
indique con claridad la calidad que se espera de los servicios (contrato entre cliente y
proveedor también llamado SLA: Service Level Agreement), así como los tiempos de
interrupción de servicio máximos en caso de avería o siniestro. La duración máxima de
interrupción del servicio aceptable antes del reinicio de la actividad, también llamada RTO
(Recovery Time Objective) de acuerdo a las publicaciones ITIL.
Definir la pérdida de datos aceptable en caso de siniestro: tras un desastre, es posible

restaurar los datos perdidos o dañados de un servidor en un momento T, si la aplicación de
las políticas de copia de seguridad está en funcionamiento. Sin embargo, los datos
introducidos por los usuarios varios minutos antes del siniestro pueden no haber sido
respaldados. Esto quiere decir, implícitamente, que no es posible restaurar los elementos que
no hayan sido respaldados. Por este motivo, es importante definir la tolerancia relativa a la
pérdida de datos en caso de siniestro en un documento específico, también llamado RPO
(Recovery Point Objective) en las publicaciones ITIL.
Definir la política de retención de los respaldos: cuando los respaldos se realizan en cinta,
online o en disco, se consume espacio de almacenamiento. La política de retención de
respaldos define el tiempo durante el que es necesario conservar los archivos almacenados
antes de sobrescribirlos con una nueva copia de seguridad o, simplemente, destruirlos.
Cuanto mayor sea el período de conservación de los respaldos, más fácil será para un
administrador restaurar datos eliminados hace varios días. El caso se presenta sobre todo
para las situaciones de eliminación accidental de datos. Por ejemplo, si un usuario elimina
accidentalmente una carpeta importante y ningún usuario se da cuenta de ello en dos
semanas... será entonces imposible para un administrador restaurar los datos eliminados si
la política de retención de copias de seguridad impone una rotación para la sobrescritura de
los archivos de una semana. Para poder restaurar en diferentes situaciones, es posible
implementar dos planes de respaldo simultáneamente. Por ejemplo, un plan de respaldo
semanal en disco podría realizar copias de seguridad con un período de retención de cuatro
semanas, mientras que otro plan de respaldo mensual en cinta podría realizar copias de
seguridad con un plazo de retención de un año.
Definir una política de restauración de datos: existen diferentes métodos para restaurar los
datos en función de los métodos de copia de seguridad o recuperación implementados para
securizar la infraestructura informática. Durante un siniestro, conviene determinar
previamente los métodos de recuperación de los datos en función del tipo de situación. Una
política de restauración debe estar definida de acuerdo a las cláusulas definidas en los
contratos de calidad de servicio. Por ejemplo, si un usuario pierde un archivo, será más rápido
intentar restaurar los datos mirando en la caché de instantáneas que recuperar una cinta del
centro de respaldo de archivos. Esto permite restaurar los datos más rápidamente y
aumentar el porcentaje de disponibilidad para respetar las cláusulas de calidad de servicio
por parte de los administradores, así como reducir el tiempo de interrupción máximo admisible
por los usuarios. Resulta básico validar y probar regularmente cualquier plan de respaldo que
se implemente, con el objetivo de garantizar que la política de restauración es operativa y
que los datos almacenados son explotables. Sucede con demasiada frecuencia que una
empresa respalda sus datos en cinta y que el día que se requiere una restauración los
administradores se encuentran impotentes, con una cinta en blanco o datos inutilizables.
Conviene probar, sistemáticamente, que el proceso de restauración funciona y que los
archivos restaurados son accesibles por los usuarios. Esto garantiza la integridad de los
datos restaurados así como la calidad del servicio proporcionado.
2. Presentación de la copia de seguridad

Existen varias tecnologías de copia de seguridad de datos, varios soportes de destino y varios
fabricantes; las soluciones utilizan componentes hardware o software.
Encontramos en particular las copias de seguridad de datos en los soportes siguientes:
Cloud
Discos duros internos/externos
Soportes extraíbles
CD/DVD ROM
Ubicaciones de red
Replicación de datos (en un equipo redundante o una ubicación geográfica diferente)
Cintas de copia de seguridad
Instantáneas
RAID
Snapshots (copia de seguridad del estado del sistema en un momento concreto)

La mayoría de las soluciones software de terceros existentes utilizan componentes que necesitan
un servidor sobre el que instalar la solución de copia de seguridad y agentes instalados en cada
servidor para garantizar la comunicación y la transferencia de los datos a respaldar. En este libro se
aborda, únicamente, la solución de copia de seguridad integrada en el sistema operativo Windows
Server 2012 R2 (funcionalidad Copias de seguridad de Windows Server), las instantáneas
(Shadow Copy), así como el sistema de copia de seguridad de tipo Cloud ofrecido por Microsoft
llamado Windows Azure Online Backup.
3. Copias de seguridad de Windows Server

El sistema operativo Microsoft Windows Server 2012 R2 integra de manera nativa la funcionalidad de
servidor llamada Copias de seguridad de Windows Server. Una vez instalada, es posible acceder a
esta herramienta como un complemento accesible desde la carpeta de
sistema%Windir%\system32\wbadmin.msc, las herramientas administrativas del sistema
operativo o mediante el Administrador del servidor.
Esta herramienta permite principalmente gestionar las copias de seguridad locales (ubicación de red,
volumen en disco) o en línea (Windows Azure Online Backup).
Cuando ejecutamos una copia de seguridad con esta herramienta, el complemento Copias
deseguridad de Windows Server crea un disco virtual del volumen a respaldar. Este disco virtual es un
archivo imagen con formato *.vhdx, que es el nuevo formato de almacenamiento de las máquinas
virtuales en Microsoft Hyper-V3. Los discos virtuales VHDX pueden soportar 64 TB de datos. El disco
virtual dedicado para la copia de seguridad de los datos se crea en la ubicación siguiente:
[Unidad:\]\WindowsImageBackup\[Nombre de servidor]\Backup [Fecha de la copia de
seguridad]
Se puede navegar en cualquier momento por los archivos de imagen de disco duro empleando un
complemento. La herramienta crea los archivos BackupGlobalCatalog y GlobalCatalog que registran la
configuración de los volúmenes respaldados en la siguiente ubicación:
[Unidad:\]\WindowsImageBackup\[Nombre de servidor]\Catalog
Cada copia de seguridad realizada debe verificarse para garantizar que los datos son accesibles en
caso de requerir una restauración urgente. Si ocurriera algún accidente durante el proceso de copia
de seguridad, la herramienta graba los registros de errores en la ubicación siguiente:
[Unidad:\]\WindowsImageBackup\[Nombre de servidor]\Logs
La herramienta de copia de seguridad permite archivar el conjunto de datos de los sistemas

operativos Windows Server, así como las máquinas virtuales que funcionan bajo Hyper-V.
a. Gestión de la copia de seguridad de Windows Server
La consola de administración Copias de seguridad de Windows Server permite gestionar los tipos
de Copias de seguridad local o Copias de seguridad en línea. El menú Acciones de la Copia de
seguridad local permite administrar los elementos siguientes:
Programar copia de seguridad: permite programar una copia de seguridad para ejecutarla
a intervalos regulares.
Hacer copia de seguridad una vez: permite ejecutar una copia de seguridad completa.
Recuperar: permite restaurar los datos a partir de elementos de una copia de seguridad ya
realizada mediante una copia de seguridad local o en línea.
Configurar opciones de rendimiento: permite especificar el tipo de copia de seguridad a

realizar para cada volumen y optimizar así el rendimiento del respaldo. La
herramientaCopias de seguridad de Windows Server ofrece dos tipos de opciones de
copia de seguridad. Las copias de seguridad completas y las copias de seguridad
incrementales. Las copias de seguridad completas tardan más en ejecutarse, porque la
operación archiva todos los datos seleccionados. La operación de copia de seguridad
incremental es más rápida porque archiva únicamente aquellos archivos modificados desde
la última copia de seguridad completa o incremental.
Ayuda: permite mostrar la ayuda de la copia de seguridad de Windows Server.
b. Programar la copia de seguridad de Windows
Para planificar una copia de seguridad con la herramienta Copias de seguridad de Windows
Server basta con iniciar el asistente Programar copia de seguridad desde el menú Acciones de la
sección Copia de seguridad local. El asistente para programar una copia de seguridad permite
seleccionar los elementos que se quiere copiar y, a continuación, definir la frecuencia del respaldo.
Es posible planificar la ejecución de las copias de seguridad para que se realicen una vez por
semana o varias veces al día:
La ubicación de destino de una copia de seguridad planificada puede definirse en:
Un disco duro dedicado para copias de seguridad
Un volumen
Una carpeta de red compartida
Cuando se ejecuta la copia de seguridad programada, el detalle de la copia se muestra en la

ventana central de la consola Copias de seguridad de Windows Server.
c. Configurar la copia de seguridad de Windows
Para planificar una copia de seguridad con la herramienta Copias de seguridad de Windows
Server, basta con iniciar el asistente Hacer copia de seguridad una vez desde el
menú Accionesde la sección Copia de seguridad local. El asistente Copia de seguridad una
vez permite seleccionar los elementos a respaldar realizando una copia completa del servidor o
seleccionando elementos concretos para realizar una copia de seguridad personalizada. Es posible
seleccionar los siguientes elementos de una copia de seguridad:
Reconstrucción completa
Estado del sistema
Un volumen completo
Archivos o carpetas de un volumen

La ubicación de destino de una copia de seguridad que se realiza una única vez puede definirse en
una unidad de disco local o una carpeta compartida en la red:
Cuando se ejecuta una copia de seguridad de una vez, el detalle de la copia de seguridad se
muestra en la ventana central de la consola Copias de seguridad de Windows Server.
d. Configurar la restauración de datos
Para recuperar los datos mediante la herramienta Copias de seguridad de Windows Server,
basta con iniciar el asistente Recuperar desde el menú Acciones de la sección Copia de seguridad
local. El Asistente para recuperación permite seleccionar los elementos a recuperar desde el
catálogo de copias de seguridad disponibles.
El asistente muestra un calendario con los datos en negrita indicando los elementos de copias de
seguridad disponibles en el catálogo de respaldos realizados con éxito:
El asistente para recuperación de datos ofrece la posibilidad de restaurar los elementos

siguientes:
Archivos y carpetas
Máquinas virtuales compatibles con Hyper-V
Volúmenes
Aplicaciones
Estado del sistema

Recuperación de datos
En un plan de recuperación de desastres, el servicio interrumpido por un incidente informático debe
restablecerse lo más rápidamente posible. La copia de seguridad es un elemento que supera todo
tipo de incidentes, pero el tiempo de recuperación a veces puede ser bastante largo, sobre todo si se
subcontrata la copia de seguridad a un proveedor de servicios responsable de mantener las cintas de
respaldo en una caja fuerte segura. En ciertas situaciones, la implementación de la
tecnologíainstantáneas en un servidor de archivos o la activación de la Papelera de reciclaje de
Active Directory puede hacer ganar un tiempo precioso a los administradores, conscientes de
restaurar los datos borrados accidentalmente en un tiempo récord.
1. Instantáneas
Las instantáneas, también llamadas en inglés Shadow Copy, permiten implementar una copia de
seguridad automática en los archivos modificados. Esto permite, en particular, restaurar un archivo a
una versión anterior cuando se realizan, por ejemplo, modificaciones erróneas en un documento,
que luego se salvaguardan. Esta tecnología utiliza el servicio Windows Volume Shadow Copy
Service (VSS) para realizar una copia de los archivos.
Para activar las instantáneas, basta con realizar el procedimiento siguiente:
Edite las propiedades del volumen que contiene sus datos.
Haga clic en la pestaña Instantáneas, seleccione el volumen en el que desea activar la

funcionalidad y, a continuación, haga clic en Configuración.
Establezca un tamaño límite para la gestión de las instantáneas (el tamaño mínimo se fija en
320 MB).
A continuación, haga clic en el botón Programación.
En la pestaña Programación, seleccione la hora de ejecución de las instantáneas, haga clic

enAceptar y cierre a continuación la ventana de configuración:
Las instantáneas están activadas en el volumen cuando un pequeño reloj aparece y el
botónHabilitar aparece en gris. Haga clic en Aceptar para cerrar las propiedades del volumen a
respaldar con esta funcionalidad.
El botón Crear ahora permite ejecutar una instantánea manualmente sin tener que esperar a
la hora de la próxima ejecución planificada de las instantáneas.
Para restaurar los datos que han sido modificados por error, basta con editar las propiedades
de la carpeta o archivo a restaurar y hacer clic en la pestaña Versiones anteriores. Esta vista
permite visualizar las versiones anteriores del archivo disponibles para poder seleccionar una
fecha adecuada para restaurar el archivo. Antes de restaurarlo, es posible visualizar el
contenido del archivo o de la carpeta haciendo clic en Abrir, para verificar si la copia es
conforme al elemento que deseamos restaurar. Haciendo clic en el botón Copiar, podemos
restaurar el elemento seleccionado a una ubicación diferente. Haciendo clic
en Restaurarpodemos recuperar el archivo de la fecha seleccionada, sobrescribiendo la versión
actual.
2. Papelera de reciclaje de Active Directory
La papelera de reciclaje de Active Directory es una funcionalidad aparecida con Windows Server
2008. Esta funcionalidad permite restaurar objetos eliminados por error, cuando la opción de
protección contra eliminación accidental no está implementada. La activación de esta opción necesita
la elevación del nivel funcional del bosque a Windows Server 2012. Después de activada, ya no será
posible modificar el nivel funcional del bosque ni desactivar la papelera de reciclaje de Active
Directory.
Para activar la papelera de reciclaje de Active Directory, basta con realizar el procedimiento
siguiente:
Aumente el nivel funcional del bosque al menos a Windows Server 2012.
Arranque la consola Centro de administración de Active Directory.
En la consola ADAC, seleccione el dominio en gestión y, a continuación, en las tareas

disponibles, haga clic en Habilitar papelera de reciclaje:
Haga clic en Aceptar para validar la activación de la papelera de reciclaje de Active Directory:
Trabajos prácticos
La empresa INFONOVICE desea implementar un plan de recuperación ante desastres que permitirá
respaldar la totalidad de la información almacenada en el servidor de archivos. El nivel de servicio en
caso de siniestro no debe estar degradado mucho tiempo. Para ello, la empresa solicita planificar la
copia de seguridad a diario, con un umbral de pérdida de datos máximo admisible fijado en medio día
de actividad. En lo relativo al directorio Active Directory, aunque la protección de objetos está activada
por defecto para evitar cualquier eliminación accidental, se le solicita implementar la papelera de
reciclaje de Active Directory para poder restaurar cualquier objeto no protegido que fuera eliminado.
Para responder a cada necesidad, se le solicita implementar una solución de copia de seguridad en
disco y en línea para ofrecer dos mecanismos distintos de recuperación de los datos. La
implementación de instantáneas se utilizará para cumplir el requisito del umbral de pérdida de datos
máximo de medio día. El conjunto de los datos de usuario a respaldar se encuentra en la carpeta
compartida E:\COMÚN (cree los archivos en esta carpeta compartida bajo el nombre del recurso
compartido: COMÚN) del servidor de archivos. Las copias de seguridad se almacenarán de manera
local en el directorio compartido E:\BACKUP del servidor de archivos.
Para realizar los siguientes trabajos prácticos deberá implementar las siguientes máquinas virtuales
DC-01: controlador de dominio Infonovice.priv, servidor DNS
FILES-01: servidor de archivos
1. Instalar una herramienta de copia de seguridad

Este taller permite instalar la herramienta de Microsoft Copias de seguridad de Windows Server,
disponible de forma estándar en las características de servidor del sistema operativo.
Paso 1: inicie una sesión en el servidor de archivos FILES-01 y, a continuación, en la

consolaAdministrador del servidor, haga clic en Agregar roles y características.
Paso 3: en la ventana Seleccionar características, marque la opción Copias de seguridad de

Windows Server. Haga clic en Siguiente y, a continuación, en Instalar.
Paso 4: haga clic en Cerrar cuando la instalación de la característica haya terminado.
2. Configurar la copia de seguridad de Windows

Este taller permite configurar, planificar y ejecutar un trabajo de copia de seguridad empleando la
funcionalidad de servidor Copias de seguridad de Windows Server.
Crear un trabajo de copia de seguridad
Paso 1: en el servidor de archivos FILES-01, abra el Administrador del servidor y, a continuación,

en el menú Herramientas, haga clic en la funcionalidad Copias de seguridad de Windows
Server.
Paso 2: en el panel de la izquierda se encuentra el árbol de la consola. Seleccione Copia de

seguridad local y, a continuación, en el panel de la derecha, haga clic en Hacer copia de
seguridad una vez.
Paso 3: en la ventana Opciones de copia de seguridad, verifique que la opción Opciones

diferentes está marcada y, a continuación, haga clic en Siguiente.
Paso 4: en la ventana Seleccionar configuración de copia de seguridad, marque la

opciónPersonalizada y haga clic en Siguiente.
Paso 5: en la ventana Seleccionar elementos para copia de seguridad, haga clic en Agregar
elementos.
Paso 6: en la ventana Seleccionar elementos, marque los elementos siguientes y, a

Estado del sistema
El disco local completo (C:)
La carpeta E:\COMÚN
Paso 7: verifique la selección de la copia de seguridad y, a continuación, haga clic en Siguiente:

Paso 8: en la ventana Especificar tipo de destino, marque la opción Carpeta compartida
remota y, a continuación, haga clic en Siguiente.
Paso 9: en la ventana Especificar carpeta remota, escriba \\FILES-01\BACKUP en el

campoUbicación. En la sección Control de acceso, marque la opción Heredar y, a continuación,
Paso 10: en la ventana Confirmación, verifique los elementos que componen el trabajo de copia
de seguridad y haga clic en Copia de seguridad para iniciar el trabajo.
Paso 11: al terminar la copia de seguridad, haga clic en Cerrar.
Paso 12: el detalle de la copia de seguridad aparece en la parte central de la consola Copias de
seguridad de Windows Server. Navegue hasta la carpeta
E:\BACKUP\WindowsImageBackup\FILES-01\Backup [Fecha de la copia de seguridad] para
constatar que la copia de seguridad del servidor se ha realizado correctamente:
Planificar la copia de seguridad de Windows
Este procedimiento permite planificar una copia de seguridad empleando la herramienta Copias de
seguridad de Windows Server. Los datos a respaldar deben configurarse para archivarse en un
nuevo volumen dedicado al almacenamiento. Habrá que agregar como requisito previo un nuevo disco
al servidor FILES-01 que se inicializará como el volumen F:\.
Paso 1: en el servidor de archivos FILES-01, arranque el Administrador del servidor y, a

continuación, en el menú Herramientas, haga clic en la funcionalidad Copias de seguridad de
Windows Server.

seguridad local y, a continuación, en el panel de la derecha, haga clic en Programar copia de
seguridad.
Paso 3: en la ventana Introducción, haga clic en Siguiente.
Paso 4: en la ventana Seleccionar configuración de copia de seguridad, marque la

opciónPersonalizada y haga clic en Siguiente.
Paso 5: en la ventana Seleccionar elementos para copia de seguridad, haga clic en Agregar
elementos.
Paso 6: en la ventana Seleccionar elementos, marque los elementos siguientes y, a

Estado del sistema
El disco local completo (C:)

La carpeta E:\COMÚN
Paso 7: verifique la selección de la copia de seguridad y, a continuación, haga clic en Siguiente.
Paso 8: en la ventana Especificar hora de copia de seguridad, marque la opción Una vez al
díapara especificar la frecuencia de los respaldos y, a continuación, en la lista desplegable,
seleccione 22:30. A continuación, haga clic en Siguiente:
Paso 9: en la ventana Especificar tipo de destino, marque la opción En un volumen y, a
Paso 10: en la ventana Seleccionar volumen de destino, haga clic en Agregar. Seleccione el
volumen F:\, haga clic en Aceptar y, a continuación, en Siguiente.
Paso 11: en la ventana Confirmación, verifique los parámetros de la programación de la copia

de seguridad y, a continuación, haga clic en Finalizar.
Paso 12: en la ventana Resumen, verifique la fecha de ejecución de la copia de seguridad

programada y, a continuación, haga clic en Cerrar.
Paso 13: la copia de seguridad programada aparece, ahora, en el centro de la consola Copias de
seguridad de Windows Server:
Paso 14: cuando llega la hora de ejecución, se inicia la copia de seguridad programada. Al
terminar la copia de seguridad, se muestra una notificación en la ventana central de la
consolaCopias de seguridad de Windows Server:
Paso 15: navegue hasta la carpeta F:\WindowsImageBackup\FILES-01\Backup [Fecha de la copia

de seguridad], para verificar que la copia de seguridad programada se ha ejecutado
correctamente:
3. Restaurar los datos

Este taller permite validar un plan de respaldo restaurando los datos guardados previamente con la
herramienta de Microsoft Copias de seguridad de Windows Server.
Paso 1: elimine el contenido de la carpeta E:\COMÚN.
Paso 2: en el servidor de archivos FILES-01, arranque el Administrador del servidor y, a

continuación, en el menú Herramientas, haga clic en la funcionalidad Copias de seguridad de
Windows Server.
seguridad local y, a continuación, en el panel de la derecha, haga clic en Recuperar.
Paso 4: en la ventana Introducción, marque la opción Este servidor y, a continuación, haga clic
en Siguiente.
Paso 5: en la ventana Seleccionar fecha de copia de seguridad, haga clic en una fecha que
aparezca marcada en negrita en el calendario. Esta fecha debe corresponder a la última copia de
seguridad programada que se ha ejecutado en el servidor. Haga clic en Siguiente.
Paso 6: en la ventana Seleccionar tipo de recuperación, marque la opción Archivos y

carpetasy, a continuación, haga clic en Siguiente.
Paso 7: en la ventana Seleccionar elementos que se van a recuperar, despliegue el árbol de

elementos disponibles para seleccionar la carpeta E:\COMÚN. Seleccione, a continuación, todos
los archivos disponibles en la lista de elementos a recuperar y haga clic en Siguiente:
Paso 8: en la ventana Especificar opciones de recuperación, marque las opciones siguientes y,

a continuación, haga clic en Siguiente:
Ubicación original (sección: Destino de la recuperación)
Sobrescribir las versiones existentes con las recuperadas (sección: Cuando se

encuentren elementos en la copia de seguridad que ya estén en el destino)
Restaurar los permisos de la lista de control de acceso del archivo que se

recupera(sección: Configuración de seguridad)
Paso 9: en la ventana Confirmación, verifique que el conjunto de los archivos a restaurar son
correctos y, a continuación, haga clic en Recuperar.
Paso 10: en la ventana Progreso de la recuperación, verifique el detalle de los elementos

recuperados y, a continuación, haga clic en Cerrar.
Paso 11: navegue hasta la carpeta E:\COMÚN para verificar que el conjunto de los archivos
eliminados se han restaurado correctamente.
4. Windows Azure Backup

Este taller permite instalar y configurar la herramienta de copia de seguridad y restauración Windows
Azure Online Backup (WAB).
Instalación de WAB
Este taller permite instalar la herramienta de copia de seguridad Windows Azure Backup (WAB).
Paso 1: abra su navegador y vaya al sitio web siguiente: http://www.windowsazure.com/es-

es/para acceder a toda la información necesaria referente a Windows Azure.
Paso 2: haga clic en el vínculo PORTAL y acceda con una cuenta de usuario MICROSOFT (Hotmail,
MSN, Passport.Net, etc.), antes de ser redirigido a la web
siguiente:https://manage.windowsazure.com
Paso 3: en la interfaz de administración, haga clic en Nuevo - Servicios de datos - Servicios de

recuperación - Almacén de copia de seguridad - Creación rápida e indique el
nombreINFONOVICE en el campo Nombre, Oeste de Europa en la lista desplegable dedicada a
laRegión. A continuación, haga clic en Crear Almacén:
Paso 4: Al terminar la creación del almacén aparece una notificación en la barra inferior:
Paso 5: en la ventana Servicios de recuperación, haga clic en el tipo de almacén de copia de

seguridad INFONOVICE previamente creado:
Paso 6: en el panel del almacén INFONOVICE, observe los tres pasos necesarios para utilizar la
herramienta de copia de seguridad mediante la cloud Windows Azure. Haga clic en Adquirir
certificado para leer el procedimiento a seguir para la generación de un certificado x.509 V3 de
una longitud mínima de 2048 bits:
Es posible crear un certificado autofirmado para el taller si no podemos obtener un certificado emitido
por una autoridad certificadora aprobada por Microsoft. Para crear el certificado autofirmado, basta
con seguir los pasos siguientes:
Descargue la herramienta MakeCert.exe desde el sitio web de Microsoft (el archivo Windows SDK
for Windows 8 and .NET Framework 4 contiene la herramienta MakeCert: sdksetup.exe).
Ejecute el comando siguiente en el servidor sobre el que se encuentra instalado el agente

Windows Azure Backup para crear el certificado autofirmado (el certificado se creará en la carpeta
que contiene la herramienta): makecert.exe -r -pe -n CN=CertInfonovice -ss my
-sr localmachine -eku 1.5.5.7.3.2 -len 2048 -e 01/01/16
CertInfonovice.cer
La fecha de expiración está en formato Americano, es decir los meses y los días cambian de
lugar: mes/día/año.
Haga clic con el botón derecho en el archivo CertInfonovice.cer y haga clic en Instalar
certificado.
Especifique la ubicación de almacenamiento en el Equipo local y, a continuación, haga clic

enSiguiente.
Marque la opción Colocar todos los certificados en el siguiente almacén y haga clic
enExaminar para especificar el almacén de certificado Personal. Haga clic en Aceptar y, a
continuación, en Siguiente.
Haga clic en Finalizar y, a continuación, Aceptar para importar el certificado en el equipo.
Conéctese al portal de gestión de Windows Azure e importe el certificado creado en la

ventanaAlmacén de copia de seguridad haciendo clic en Administrar certificado del paso 1:
Importe el certificado CertInfonovice.cer (tenga precaución, el certificado no debe tener una fecha
de validez superior a 3 años y una longitud de cifrado menor de 2048 bits):
Paso 7: haga clic en Descargar agente y seleccione Agente para Windows Server y System
Center - Data Protection Manager. Esta acción tiene como finalidad descargar el
ejecutableWABInstaller.exe (Windows Azure Backup Installer).
Paso 8: ejecute el archivo WABInstaller.exe (la ejecución de este archivo puede realizarse en
un sistema operativo Microsoft Windows Server 2008 R2 SP1 o superior).
Paso 9: marque la opción Acepto los términos del Aviso complementario y haga clic en Aceptar.
Paso 10: en la ventana Comprobación de requisitos previos, haga clic en Siguiente:

Paso 11: en la ventana Configuración de la instalación, verifique la ubicación de la carpeta de
instalación del agente Windows Azure Backup así como la ubicación de la caché (esta ubicación
debe disponer de un espacio disponible de al menos un 10% de los datos de la copia de
seguridad). Modifique las rutas si fuera necesario, en caso contrario haga clic en Siguiente:
Paso 12: en el paso Participación en Microsoft Update, marque la opción Utilizar Microsoft
Update cuando comprueba si hay actualizaciones y haga clic en Instalar.
Paso 13: en el paso Instalación, cuando la instalación termine, desmarque la opción Buscar
actualizaciones más recientes y haga clic en Finalizar.
Paso 14: vaya al menú Inicio y, mediante la tecla Windows de su teclado, haga clic en el
programa Windows Azure Backup:
Paso 15: en el menú Acciones, haga clic en Registrar servidor:
Paso 16: en el paso Configuración de proxy, si fuera necesario, introduzca la información

necesaria en función de su infraestructura de red, en caso contrario haga clic en Siguiente.
Paso 17: en el paso Identificación del almacén, haga clic en Examinar. Seleccione el certificado
autofirmado creado en el paso anterior y, a continuación, haga clic en Aceptar.
Paso 18: cuando el certificado se haya importado correctamente, seleccione el almacén

INFONOVICE creado previamente en el portal Windows Azure y haga clic en Siguiente:
Paso 19: en el paso Configuración de cifrado, haga clic en el botón Generar frase de
contraseña. Haga clic en Examinar, y seleccione su Escritorio y, a continuación, haga clic
enRegistrar:
Este paso permite registrar el servidor automáticamente en su cuenta Windows Azure.
Paso 20: recuerde guardar la contraseña generada en un archivo de texto en el escritorio y, a

continuación, haga clic en Cerrar:
En lo sucesivo es posible utilizar Windows Azure Online Backup con el servidor FILES-01.
Programar la copia de seguridad
Este taller permite programar una copia de seguridad mediante la herramienta de copia de seguridad
Windows Azure Backup (WAB).
Paso 1: en el servidor FILES-01, cree la carpeta C:\BACKUP que contenga los

archivosConfidencial.txt, Importante.txt y Público.txt y, a continuación, arranque el
programa Windows Azure Backup:
Paso 2: en el menú Acciones, haga clic en Programar copia de seguridad.
Paso 3: en el paso Introducción, haga clic en Siguiente.
Paso 4: en el paso Seleccionar elementos para copia de seguridad, haga clic en Agregar
elementos.
Paso 5: en la ventana Seleccionar elementos, despliegue el árbol de la unidad C:\, marque la

opción BACKUP y, a continuación, haga clic en Aceptar y en Siguiente:
Paso 6: en el paso Especificar la hora de la copia de seguridad, marque el conjunto de las
horas de la semana excepto los fines de semana y, a continuación, agregue los horarios
siguientes: 3:00, 12:00 y 20:00. Después haga clic en Siguiente.
Paso 7: en el paso Especificar la configuración de retención, deje las opciones por defecto y
Paso 8: en la ventana Confirmación, compruebe los parámetros de la configuración de la copia

de seguridad y, a continuación, haga clic en Finalizar.
Paso 9: en el paso Modificar progreso de la copia de seguridad, haga clic en Cerrar.
Paso 10: la programación de la copia de seguridad se muestra en la ventana de la herramienta

Windows Azure Backup:
El trabajo de copia de seguridad mediante Windows Azure Backup está programado. Este último
tiene un límite de 850 GB de datos.
Restaurar los datos
Este taller permite recuperar los datos una copia de seguridad mediante la herramienta de copia de
seguridad Windows Azure Backup (WAB).
Paso 1: en el servidor FILES-01, elimine la carpeta C:\BACKUP y, a continuación, arranque el

programa Windows Azure Backup.
Paso 2: en el menú Acciones, haga clic en Recuperar datos.
Paso 3: en el paso Introducción, marque la opción Este servidor y, a continuación, haga clic
enSiguiente.
Paso 4: en el paso Seleccionar modo de recuperación, marque la opción Examinar archivos y,

a continuación, haga clic en Siguiente.
Paso 5: en el paso Seleccionar el volumen, seleccione el volumen C:\ y, a continuación, la fecha

de la copia de seguridad que acaba de realizar, así como la hora de ejecución programada. A
Paso 6: en el paso Seleccionar elementos que recuperar, despliegue el árbol de elementos

disponibles para seleccionar la carpeta C:\BACKUP. A continuación, haga clic en Siguiente:
Paso 7: en el paso Especificar opciones de recuperación, marque las opciones Ubicación
original en la sección Destino de la recuperación, Sobrescribir las versiones existentes con las
versiones recuperadas y, a continuación, marque la opción Restaurar los permisos de la lista
de control de acceso (ACL) en el archivo o la carpeta que se están recuperando en la
secciónConfiguración de seguridad. A continuación, haga clic en Siguiente:
Paso 8: en la ventana Confirmación, verifique los parámetros de recuperación de los datos y, a
continuación, haga clic en Recuperar.
Paso 9: cuando finalice la restauración de los datos eliminados, haga clic en Cerrar.
Paso 10: navegue hasta la carpeta C:\BACKUP para verificar que los
archivos Confidencial.txt,Importante.txt y Público.txt se han restaurado correctamente:
A lo largo de este capítulo, hemos visto todos los aspectos relativos a la copia de seguridad y
restauración en Windows Server 2012 R2. Podría resumirse de la manera siguiente:
Una infraestructura Windows Server 2012 R2 necesita un plan de recuperación ante desastres
que respete las mejores prácticas ITIL como los SLA, los RTO y los RPO.
Windows Server 2012 posee la funcionalidad Copias de seguridad de Windows Server.
La herramienta de copia de seguridad integrada permite gestionar los respaldos locales o en

línea.
Las instantáneas permiten recuperar una versión anterior de un archivo o carpeta.
La papelera de reciclaje de Active Directory permite recuperar los objetos del directorio
eliminados accidentalmente.
preguntas.
1. Preguntas
1 ¿Qué es un PRD?
2 ¿Qué es un SLA?
3 ¿Qué es un RTO?
4 ¿Qué es un RPO?
5 ¿Qué funcionalidad dedicada a la copia de seguridad está integrada en el sistema operativo

Windows Server 2012 R2?
6 ¿Para qué sirven las instantáneas?
7 ¿Cuál es el volumen de datos máximo permitido para un trabajo de copia de seguridad

empleando Windows Azure Backup?
2. Resultados
punto.
3. Respuestas
1 ¿Qué es un PRD?
Un PRD o Plan de Recuperación de Desastres permite definir un plan de recuperación en caso de un

siniestro.
2 ¿Qué es un SLA?
Un SLA, o Service Level Agreement, permite definir el contrato de calidad de servicio que una
infraestructura debe proporcionar. Encontramos en particular las duraciones máximas de
interrupción de servicio en caso de siniestro.
3 ¿Qué es un RTO?
Un RTO, o Recovery Time Objective, permite definir la duración máxima de interrupción de servicio
antes de reanudar la actividad.
4 ¿Qué es un RPO?
Un RPO, o Recovery Point Objective, permite definir la tolerancia a pérdida de datos admisible en
caso de siniestro.
5 ¿Qué funcionalidad dedicada a la copia de seguridad está integrada en el sistema operativo

Windows Server 2012 R2?
La funcionalidad Copia de seguridad de Windows Server es un complemento integrado en el

sistema operativo Windows Server 2012 R2.
6 ¿Para qué sirven las instantáneas?
Las instantáneas permiten realizar copias de archivos frecuentemente modificados para poder
recuperar una versión anterior en caso de una solicitud de restauración urgente.
7 ¿Cuál es el volumen de datos máximo permitido para un trabajo de copia de seguridad

empleando Windows Azure Backup?
Un trabajo de copia de seguridad empleando Windows Azure Backup está limitado a un volumen de
datos inferior a los 850 GB.
Tabla de objetivos
Trabajos
Objetivo Capítulos
prácticos
Configure and Manage High Availability
Configure Network Load Balancing (NLB) El reparto de El reparto de

carga carga -
Administrar un
clúster NLB
Configure failover clustering Clústers y alta Clústers y alta

disponibilidad disponibilidad -
Crear un clúster
de servidores
Manage failover clustering roles Clústers y alta Clústers y alta

disponibilidad disponibilidad -
Simular un fallo
en el clúster
Manage Virtual Machine (VM) movement Clúster de Clúster de

conmutación conmutación por
por error Hyper- error Hyper-V -
V Configurar la
conmutación por
error de clúster
Configure File and Storage Solutions
Configure advanced file services Los servicios de Los servicios de

archivos archivos
avanzados avanzados -
Crear una
infraestructura
iSCSI
Los servicios de
archivos
avanzados -
Implementar
BranchCache
Implement Dynamic Access Control (DAC) Control de Control de

acceso dinámico acceso dinámico
- Configurar
Kerberos
Control de
acceso dinámico
- Crear las
notificaciones
Control de
acceso dinámico
- Configurar las
propiedades
Control de
acceso dinámico
- Configurar la
clasificación
Control de
acceso dinámico
- Configurar una
regla de acceso
central
Control de
acceso dinámico
- Crear una
directiva de
acceso central
Control de
acceso dinámico
- Publicar una
directiva de
acceso
Control de
acceso dinámico
- Comprobar el
acceso a los
recursos
Configure and optimize storage Los servicios de

archivos
avanzados -
Optimizar el uso
del
almacenamiento
- Desduplicación
de datos
Implement Business Continuity and Disaster Recovery
Configure and manage backups Copia de Copia de

seguridad y seguridad y
restauración restauración -
Configurar la
copia de
seguridad de
Windows
Recover servers Copia de Copia de

seguridad y seguridad y
restauración restauración -
Restaurar los
datos
Configure site-level fault tolerance Copia de

seguridad y
restauración
Configure Network Services
Implement an advanced Dynamic Host Los servicios Los servicios

Configuration Protocol (DHCP) solution avanzados de avanzados de
red red - Instalar y
configurar el
servicio DHCP
Implement an advanced DNS solution Los servicios Los servicios

avanzados de avanzados de
red red - Configurar
el servicio DNS
con DNSSEC
Deploy and manage IPAM Los servicios

avanzados de
red - IPAM
Configure the Active Directory Infrastructure
Configure a forest or a domain Los servicios de Los servicios de

dominio Active dominio Active
Directory Directory -
Instalar el rol AD
DS empleando la
interfaz gráfica
Configure trusts Despliegue Despliegue

distribuido AD distribuido AD DS
DS - Configurar una
confianza AD DS
Configure sites Sitios y servicios Sitios y servicios

Active Directory Active Directory -
Crear los sitios
Manage Active Directory and SYSVOL replication Replicación de Replicación de

Active Directory Active Directory -
Configurar la
replicación
Configure Identity and Access Solutions
Implement Active Directory Federation Services Servicios de Servicios de

2.1 (AD FSv2.1) federación AD federación AD FS
FS - Preparar el
despliegue AD FS
Install and configure Active Directory Certificate Servicios de Servicios de

Services (AD CS) certificados AD certificados AD
CS CS - Instalar una
CA
independiente
Manage certificates Servicios de Servicios de

certificados AD certificados AD
CS CS - Solicitar un
certificado
Install and configure Active Directory Rights Servicios de Servicios de

Management Services (AD RMS) gestión de gestión de
derechos derechos -
Preparar el
despliegue AD
RMS

70 412 Windows Server 2012 R2 Configuracion de Servicios Avanzados PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

70 412 Windows Server 2012 R2 Configuracion de Servicios Avanzados PDF

Cargado por

Copyright:

Formatos disponibles

Windows Server 2012 R2 - Configuración de servicios

Prólogo Acerca de este libro

1. Acerca del libro 16

C. El plan de estudios de la certificación de Microsoft 18

Capítulo 1 Presentación de Windows Server 2012 R2

A. Windows Server 2012 R2 22

B. Nueva interfaz gráfica 23

C. Despliegue de Windows Server 2012 R2 28

www.ediciones-eni.com © Ediciones ENI 1/15

E. Los protocolos de red 31

F. La administración de Windows Server 2012 R2 33

H. Resumen del capítulo 62

I. Validación de conocimientos: preguntas/respuestas 63

Capítulo 2 Los servicios de dominio Active Directory

A. Presentación de Active Directory 68

www.ediciones-eni.com © Ediciones ENI 2/15

c. Novedad de las directivas de grupo 86

B. Bosques y dominios Active Directory 89

E. Administración de cuentas de usuario 101

1. Administración de cuentas de usuario 102

F. Administración de grupos de seguridad 104

G. Trabajos prácticos 107

H. Resumen del capítulo 119

I. Validación de conocimientos: preguntas/respuestas 120

www.ediciones-eni.com © Ediciones ENI 3/15

Capítulo 3 Los servicios avanzados de red

A. Servicio DNS 124

1. Presentación del servicio DNS 125

B. Servicio DHCP 159

1. Presentación del servicio DHCP 159

www.ediciones-eni.com © Ediciones ENI 4/15

7. Copia de seguridad y restauración del servicio DHCP 170

D. Trabajos prácticos 189

E. Resumen del capítulo 247

F. Validación de conocimientos: preguntas/respuestas 247

Capítulo 4 Los servicios de archivos avanzados

A. Presentación de los servicios de archivos 252

1. Funcionamiento de los servicios de archivos 252

www.ediciones-eni.com © Ediciones ENI 5/15

B. Almacenamiento en red 260

C. Optimizar el uso del almacenamiento 265

1. Presentación de BranchCache 291

www.ediciones-eni.com © Ediciones ENI 6/15

b. Modo de caché distribuida 296

E. Trabajos prácticos 298

F. Resumen del capítulo 324

G. Validación de conocimientos: preguntas/respuestas 325

Capítulo 5 Control de acceso dinámico

A. Control de acceso dinámico 330

B. Trabajos prácticos 335

C. Resumen del capítulo 360

D. Validación de conocimientos: preguntas/respuestas 360

Capítulo 6 Despliegue distribuido AD DS

A. Presentación del despliegue distribuido AD DS 362

www.ediciones-eni.com © Ediciones ENI 7/15

B. Trabajos prácticos 374

C. Resumen del capítulo 383

D. Validación de conocimientos: preguntas/respuestas 384

Capítulo 7 Sitios y servicios Active Directory

A. Presentación de los sitios Active Directory 388

1. Objetivo de los sitios 388

B. Trabajos prácticos 396

www.ediciones-eni.com © Ediciones ENI 8/15